Topik ini menjelaskan cara memberikan, melihat, dan mencabut izin untuk pengguna RAM. Topik ini juga menyediakan praktik terbaik berdasarkan prinsip hak istimewa minimal serta metode troubleshooting untuk membantu Anda mengelola akses ke sumber daya cloud secara aman dan efisien. - Resource Access Management

Secara default, pengguna RAM tidak memiliki izin apa pun. Anda harus memberikan izin kepada mereka sebelum dapat mengakses dan mengelola sumber daya Alibaba Cloud. Topik ini menjelaskan cara memberikan, melihat, dan mencabut izin untuk pengguna RAM, serta menyediakan praktik terbaik untuk skenario umum dan metode troubleshooting guna membantu Anda mendelegasikan izin secara aman dan efisien.

Konsep inti

Sebelum memberikan izin, pahami konsep-konsep inti berikut:

Jenis kebijakan
policy adalah seperangkat izin akses. Kebijakan diklasifikasikan menjadi dua jenis berikut. Anda dapat memberikan beberapa kebijakan sekaligus kepada pengguna RAM. Saat memberikan izin, ikuti prinsip hak istimewa minimal.
- System policy: Izin umum yang telah ditentukan sebelumnya oleh Alibaba Cloud, seperti AliyunECSReadOnlyAccess (akses read-only ke ECS) dan AliyunOSSFullAccess (akses manajemen penuh untuk OSS). Untuk daftar lengkap kebijakan sistem, lihat Referensi kebijakan sistem.
- Custom policy: Jika kebijakan sistem tidak memenuhi kebutuhan kontrol akses detail halus Anda, Anda dapat membuat kebijakan kustom lalu memberikannya. Jika pengguna RAM perlu membeli produk cloud, lihat Izin apa saja yang diperlukan agar pengguna RAM dapat membeli produk cloud?
Efektivitas dan batasan izin
- Waktu efektif: Izin yang diberikan kepada pengguna RAM biasanya langsung berlaku. Pengguna tidak perlu menunggu atau login ulang.
- Batas jumlah: Untuk jumlah maksimum kebijakan sistem dan kustom yang dapat disambungkan ke pengguna RAM, lihat Batasan.
- Batasan kelompok sumber daya: Saat menggunakan otorisasi berbasis kelompok sumber daya, pastikan terlebih dahulu bahwa layanan cloud, operasi, dan jenis sumber daya mendukung izin di tingkat kelompok sumber daya. Untuk detailnya, lihat Layanan cloud yang mendukung otorisasi di tingkat kelompok sumber daya.

Memberikan izin kepada pengguna RAM

Konsol

Konsol RAM menyediakan dua metode untuk memberikan izin kepada pengguna RAM. Kedua metode mendukung pemberian izin kepada satu pengguna atau beberapa pengguna sekaligus. Pilih metode yang paling sesuai dengan alur kerja Anda:

Dari halaman Users: Pilih pengguna dari daftar untuk secara otomatis menetapkannya sebagai principal di panel otorisasi. Metode ini ideal untuk pendekatan manajemen berbasis pengguna.
Dari halaman Grants: Anda harus memilih principal secara manual. Halaman ini juga menyediakan daftar lengkap semua pemberian izin di akun Anda. Metode ini ideal untuk pendekatan manajemen berbasis izin.

Catatan

Rekomendasi untuk manajemen skala besar: Saat Anda perlu memberikan izin yang sama kepada beberapa pengguna RAM dengan fungsi pekerjaan identik, kami merekomendasikan menambahkan mereka ke user group lalu memberikan izin kepada grup tersebut (jalur konsol: Identities > User Groups). Pendekatan ini lebih mudah dipelihara dibandingkan memberikan izin kepada setiap pengguna secara individual.

Dari halaman Users

Login ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Di halaman Users, temukan pengguna RAM target dan klik Actions di kolom Attach Policy.
Anda juga dapat memilih beberapa pengguna RAM dan mengklik Attach Policy di bawah daftar pengguna untuk memberikan izin kepada beberapa pengguna sekaligus.
Di panel Add Permissions, konfigurasikan pemberian izin:
- Pilih Resource Scope:
  - Account: Izin berlaku untuk semua sumber daya dalam akun Alibaba Cloud. Ini cocok untuk skenario yang tidak memerlukan isolasi kelompok sumber daya.
  - Resource Group: Izin hanya berlaku dalam kelompok sumber daya tertentu. Ini ideal untuk mengisolasi izin berdasarkan tim ketika beberapa tim berbagi satu akun. Pengguna dengan izin di tingkat kelompok sumber daya harus memilih kelompok sumber daya yang diotorisasi dari bilah navigasi atas untuk mengelola sumber dayanya.
    Catatan
    Sistem secara otomatis menandai kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kebijakan ini biasanya memberikan full kontrol atas semua sumber daya cloud atau akses manajemen penuh ke RAM. Berikan izin ini dengan hati-hati.
    Untuk contoh otorisasi kelompok sumber daya, lihat Gunakan kelompok sumber daya untuk mengontrol akses pengguna RAM ke instance ECS tertentu.
- Pilih Principal:
  Principal adalah pengguna RAM yang menerima izin. Jika Anda memulai dari halaman Users, sistem secara otomatis memilih pengguna RAM saat ini. Dari halaman Grants, Anda perlu memilih satu atau beberapa pengguna RAM secara manual.
- Pilih Policy:
  - System policies: Anda dapat langsung mencari dan memilih kebijakan. Tips pencarian: Gunakan kotak pencarian untuk menemukan kebijakan dengan cepat. Anda dapat melakukan pencarian fuzzy berdasarkan nama produk (misalnya, ECS atau OSS), tingkat izin (misalnya, ReadOnly atau FullAccess), atau nama lengkap kebijakan.
  - Custom policies: Anda harus terlebih dahulu membuat kebijakan kustom sebelum dapat memberikannya.
- (Opsional) Masukkan Notes: Masukkan alasan pemberian izin untuk memudahkan audit dan pelacakan. Misalnya, "Otorisasi khusus untuk tugas upload OSS".
- Kirimkan pemberian izin: Klik Confirm.
Konfirmasi hasil pemberian izin, lalu klik Close.

Dari halaman Grants

Login ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Permissions > Grants.
Di halaman Grants, klik Add Permissions.
Di panel Add Permissions, berikan izin kepada pengguna RAM. Prosesnya sama seperti yang dijelaskan di bagian sebelumnya.
Konfirmasi hasil pemberian izin, lalu klik Close.

API

Berikan a custom policy

Panggil operasi CreatePolicy untuk membuat custom policy. Untuk informasi lebih lanjut, lihat Elemen kebijakan dan Pustaka kebijakan.
Panggil operasi AttachPolicyToUser untuk memberikan izin account-level kepada pengguna RAM. Atur PolicyType ke Custom.
Atau, panggil operasi AttachPolicy untuk memberikan izin resource group-level kepada pengguna RAM.

Berikan a system policy

Panggil operasi AttachPolicyToUser untuk menyambungkan kebijakan ke pengguna RAM yang ditentukan. Atur PolicyType ke System. Untuk nilai PolicyName, lihat Referensi kebijakan sistem.
Atau, panggil operasi AttachPolicy untuk memberikan izin resource group-level kepada pengguna RAM.

Menampilkan izin pengguna RAM

Konsol

Login ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Di halaman Users, klik nama pengguna RAM target.
Klik tab Permissions untuk melihat izin Individual dan Group Permissions.

Catatan

Untuk memahami penggunaan aktual izin (waktu akses terakhir, apakah tidak digunakan, atau terlalu luas), Anda dapat memeriksa tab Permission Audit (Beta) di halaman detail pengguna atau bagian Access Analysis di halaman Ikhtisar RAM. Hal ini membantu Anda terus mengoptimalkan pengaturan izin.

API

Panggil operasi ListPoliciesForUser untuk menanyakan daftar izin tingkat akun yang diberikan kepada pengguna. Operasi ini tidak dapat menanyakan izin tingkat kelompok sumber daya.

Mencabut izin pengguna RAM

Catatan

Rekomendasi: Untuk menghindari pencabutan izin yang sedang digunakan, periksa waktu penggunaan terakhir kebijakan di tab Permission Audit (Beta) di halaman detail pengguna sebelum mencabutnya. Anda juga dapat meninjau bagian Access Analysis di halaman Ikhtisar RAM untuk mengidentifikasi kebijakan yang tidak aktif sebelum memutuskan izin mana yang akan dicabut.

Konsol

Konsol RAM menyediakan dua metode untuk mencabut izin dari pengguna RAM. Kedua metode mendukung pencabutan satu izin atau beberapa izin secara batch. Pilih metode yang paling sesuai dengan alur kerja Anda:

Dari halaman Users: Filter dan pilih izin yang akan dicabut di halaman detail pengguna. Ini ideal untuk tugas pembersihan berbasis pengguna.
Dari halaman Grants: Filter dan pilih izin yang akan dicabut dari daftar lengkap pemberian izin. Ini ideal untuk pembersihan berbasis izin.

Dari halaman Users

Login ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Di halaman Users, klik nama pengguna RAM target.
Klik tab Permissions, temukan kebijakan target di daftar Individual, lalu klik Revoke Permission di kolom Actions.
Di kotak dialog Revoke Authorization, konfirmasi Principal dan Policy, lalu klik Revoke Authorization.

Dari halaman Grants

Login ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Permissions > Grants.
Di halaman Grants, temukan baris yang sesuai dengan pengguna RAM dan kebijakan target, lalu klik Revoke Permission di kolom Actions.
Anda juga dapat memilih beberapa catatan otorisasi, lalu mengklik Revoke Permission di bawah daftar untuk mencabut beberapa izin sekaligus.
Di kotak dialog Revoke Permission, klik Revoke Permission.

API

Panggil operasi DetachPolicyFromUser untuk mencabut izin tertentu dari pengguna.

Rekomendasi keamanan izin

Ikuti prinsip hak istimewa minimal. Berikan pengguna RAM hanya izin minimum yang diperlukan untuk menjalankan tugasnya.
1. Skenario 1: Mengelola instance ECS tertentu
  - Praktik salah: Memberikan AdministratorAccess atau AliyunECSFullAccess.
  - Praktik benar: Buat kebijakan kustom yang membatasi elemen Resource hanya pada ID instans tertentu. Untuk contoh kebijakan, lihat Mengelola instance ECS tertentu.
2. Skenario 2: Memberikan semua izin kecuali untuk penagihan
  - Praktik salah: Memberikan AdministratorAccess.
  - Praktik benar: Buat kebijakan kustom yang mencakup pernyataan dengan "Action": "bss:*","bssapi:*","efc:*" dan "Effect": "Deny". Ini secara eksplisit menolak izin manajemen terkait penagihan. Untuk contoh kebijakan, lihat Mengelola semua sumber daya dalam akun Alibaba Cloud kecuali informasi penagihan.
Audit izin secara berkala. Tinjau kesehatan izin Anda secara berkala. Gunakan Governance Check di halaman Ikhtisar RAM untuk mengidentifikasi AccessKey yang tidak digunakan dan pengguna RAM yang tidak aktif. Di Access Analysis (Beta), gunakan alat analisis over-permission untuk mengidentifikasi izin yang terlalu luas. Gunakan analisis ini untuk terus menyesuaikan ukuran izin tersebut.
Gunakan izin berisiko tinggi dengan hati-hati. Gunakan kebijakan berisiko tinggi seperti AliyunRAMFullAccess hanya dalam skenario langka dan diperlukan, misalnya saat memberikan izin kepada administrator RAM. Audit dan pantau secara ketat tindakan pengguna yang memiliki izin semacam itu.
Lebih baik gunakan peran RAM untuk otorisasi sementara. Untuk kebutuhan sementara, seperti akses lintas akun atau tugas CI/CD sementara, gunakan peran RAM dengan kredensial sementara yang dikeluarkan STS daripada menyambungkan kebijakan jangka panjang ke pengguna RAM. Kredensial sementara kedaluwarsa secara otomatis, sehingga tidak perlu pencabutan manual.

FAQ

Menampilkan izin Anda sendiri

Karena alasan keamanan, pengguna RAM tidak dapat melihat izin mereka sendiri secara default. Anda dapat menentukan cakupan izin Anda dengan salah satu cara berikut:

Coba-coba: Coba akses konsol produk dan fitur yang diperlukan untuk pekerjaan Anda. Jika Anda menerima pesan "permission denied", berarti Anda tidak memiliki izin yang diperlukan.
Hubungi administrator Anda: Tanyakan kepada administrator organisasi Anda (pemilik akun Alibaba Cloud atau pengguna dengan AliyunRAMFullAccess) untuk memeriksa izin Anda di halaman detail pengguna di Konsol RAM.

Membeli produk cloud

Ya. Anda perlu memberikan izin khusus yang diperlukan untuk membeli produk. Untuk informasi lebih lanjut, lihat Izin apa saja yang diperlukan agar pengguna RAM dapat membeli produk cloud?

Namun, Anda tidak dapat menetapkan batas pengeluaran atau tagihan independen untuk pengguna RAM individual. Semua pembelian yang dilakukan oleh pengguna RAM akan dikenakan ke akun Alibaba Cloud, yang bertanggung jawab atas pembayaran.

Memberikan izin sementara

Jangan sambungkan kebijakan jangka panjang ke pengguna RAM untuk kebutuhan sementara. Praktik yang direkomendasikan adalah membuat Peran RAM dengan izin yang diperlukan. Pengguna RAM kemudian dapat memanggil operasi AssumeRole atau menggunakan STS untuk mendapatkan kredensial sementara berbatas waktu. Untuk detailnya, lihat Mengasumsikan peran RAM.

Kredensial sementara kedaluwarsa secara otomatis dan tidak perlu dicabut secara manual, sehingga cocok untuk skenario seperti CI/CD, delegasi lintas akun, dan operasi pihak ketiga.

Memecahkan masalah error "permission denied"

Buka Permissions > permission diagnosis di Konsol RAM. Tempel pesan diagnostik terenkripsi (bidang AccessDeniedDetail.EncodedDiagnosticMessage) atau Request ID dari tanggapan error ke dalam kotak diagnosis. Klik Start Diagnosis. Hasil diagnosis menunjukkan alasan spesifik penolakan (seperti kebijakan yang cocok, kondisi, atau penolakan eksplisit) untuk membantu Anda dengan cepat mengidentifikasi masalah.

Untuk panduan troubleshooting lebih lanjut, lihat Cara memecahkan masalah error akses akibat izin tidak mencukupi.