全部产品
Search

搜索本产品

    Resource Access Management:FAQ tentang peran RAM dan token STS

    文档中心

    Resource Access Management:FAQ tentang peran RAM dan token STS

    更新时间:Jan 27, 2026

    Topik ini menjawab pertanyaan yang sering diajukan mengenai peran Resource Access Management (RAM) dan token Security Token Service (STS).

    Mengapa saya mendapatkan error "You are not authorized..." saat memanggil AssumeRole?

    Saat memanggil operasi API AssumeRole, Anda mungkin menerima pesan error berikut:

    Error message: You are not authorized to do this action. You should be authorized by RAM.

    Error ini dapat terjadi karena alasan-alasan berikut:

    • Anda memanggil operasi tersebut sebagai Akun Alibaba Cloud.

      Operasi API AssumeRole tidak dapat dipanggil oleh Akun Alibaba Cloud. Anda harus memanggilnya sebagai Pengguna RAM atau Peran RAM.

    • Identitas pemanggil tidak memiliki izin untuk mengasumsikan peran tersebut.

      Untuk memberikan izin yang diperlukan, sambungkan kebijakan AliyunSTSAssumeRoleAccess atau kebijakan kustom ke identitas pemanggil (Pengguna RAM atau Peran RAM yang melakukan panggilan). Kebijakan kustom tersebut harus mencakup pernyataan dengan efek Allow pada aksi sts:AssumeRole. Untuk contoh, lihat Contoh kebijakan.

    • Kebijakan kepercayaan peran tersebut tidak mencantumkan identitas pemanggil sebagai principal.

      Perbarui kebijakan kepercayaan peran target agar mengizinkan identitas pemanggil untuk mengasumsikannya. Untuk informasi selengkapnya, lihat Memodifikasi kebijakan kepercayaan peran RAM.

    Siapa yang dapat memanggil operasi API AssumeRole?

    Operasi API AssumeRole, yang digunakan untuk mendapatkan kredensial keamanan temporary untuk Peran RAM, hanya dapat dipanggil oleh Pengguna RAM atau Peran RAM. Operasi ini tidak dapat dipanggil oleh Akun Alibaba Cloud.

    Apa saja jenis-jenis peran RAM dan siapa yang dapat mengasumsikannya?

    RAM menyediakan jenis peran berikut berdasarkan principal:

    • Peran RAM yang entitas tepercayanya adalah Akun Alibaba Cloud: Pengguna RAM atau Peran RAM dalam suatu Akun Alibaba Cloud dapat mengasumsikan jenis peran ini. Pengguna RAM atau Peran RAM yang mengasumsikan jenis peran ini dapat berasal dari akun Alibaba Cloud milik mereka sendiri atau akun Alibaba Cloud lainnya. Jenis peran RAM ini digunakan untuk akses lintas akun dan otorisasi temporary.

    • Peran RAM yang entitas tepercayanya adalah layanan Alibaba Cloud: Layanan Alibaba Cloud dapat mengasumsikan jenis peran RAM ini. Peran RAM yang dapat diasumsikan oleh layanan Alibaba Cloud tepercaya diklasifikasikan menjadi dua jenis: peran layanan biasa dan peran terkait layanan. Untuk informasi selengkapnya mengenai peran terkait layanan, lihat peran terkait layanan. Jenis peran RAM ini digunakan untuk mengotorisasi akses lintas layanan Alibaba Cloud.

    • Peran RAM yang entitas tepercayanya adalah penyedia identitas (IdP): Pengguna IdP tepercaya dapat mengasumsikan jenis peran RAM ini. Jenis peran RAM ini digunakan untuk menerapkan Single Sign-On (SSO) berbasis peran antara Alibaba Cloud dan IdP tepercaya.

    Bagaimana cara membatasi Pengguna RAM tertentu agar tidak dapat mengasumsikan Peran RAM tertentu?

    1. Perbarui kebijakan kepercayaan peran RAM tersebut.

      Dalam kebijakan kepercayaan Peran RAM, gunakan elemen Principal untuk menentukan Pengguna RAM yang diizinkan mengasumsikan peran ini. Dalam kebijakan tersebut, ganti <account-id> dengan ID akun Alibaba Cloud Anda, dan <user-name> dengan nama Pengguna RAM. Untuk informasi lebih lanjut, lihat Ubah kebijakan kepercayaan Peran RAM.

      Contoh kebijakan:

      {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::<account-id>:user/<user-name>"
                ]
            }
        }
    ],
    "Version": "1"
}

    2. Berikan izin kepada Pengguna RAM untuk mengasumsikan peran tersebut.

      Sambungkan kebijakan AliyunSTSAssumeRoleAccess atau kebijakan kustom ke Pengguna RAM tersebut. Kebijakan kustom memungkinkan Anda membatasi peran mana saja yang dapat diasumsikan oleh pengguna tersebut.

      Dalam kebijakan kustom, gunakan elemen Resource untuk menentukan Nama Sumber Daya Alibaba Cloud (ARN) dari peran RAM yang dapat diasumsikan. Dalam kebijakan tersebut, ganti <account-id> dengan ID Akun Alibaba Cloud Anda, dan <role-name> dengan nama peran RAM tersebut. Untuk informasi selengkapnya, lihat Membuat kebijakan kustom dan Memberikan izin kepada Pengguna RAM.

      Contoh kebijakan:

      {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "acs:ram:*:<account-id>:role/<role-name>"
        }
    ],
    "Version": "1"
}

    Bagaimana cara melihat ARN dari suatu peran RAM?

    1. Masuk ke Konsol RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Roles.

    3. Klik nama peran RAM target.

    4. Di bagian Basic Information, temukan dan salin ARN peran tersebut. RAM角色ARN

    Apakah ada batas permintaan API untuk STS?

    Operasi API AssumeRole dibatasi laju permintaannya hingga 100 permintaan per detik. Batas ini berlaku untuk seluruh Akun Alibaba Cloud, termasuk semua Pengguna RAM dan Peran RAM di dalamnya.

    Jika Anda melebihi batas ini, STS akan mengembalikan salah satu pesan error berikut:

    • Pesan error

      Kode error

      Pesan error

      Throttling.Api

      Request was denied due to api flow control.

      Throttling.User

      Request was denied due to user flow control.

      Throttling

      Request was denied due to flow control.

    • Kode status 302

    Jika Anda menerima error ini, kurangi laju permintaan Anda. Jika aplikasi Anda memerlukan laju permintaan yang lebih tinggi, Anda dapat mengajukan peningkatan kuota dengan membuat tiket.

    Apa saja batasan izin dari token STS?

    Izin dari token STS merupakan irisan antara kebijakan berbasis identitas peran tersebut dan kebijakan sesi yang Anda masukkan dalam parameter Policy saat memanggil AssumeRole.

    Catatan

    Jika Anda tidak menentukan kebijakan sesi saat memanggil AssumeRole, token STS yang dikembalikan memiliki izin yang sama dengan peran tersebut.

    Berapa lama masa berlaku token STS?

    Secara default, token STS berlaku selama 3.600 detik (1 jam). Anda dapat menentukan durasi mulai dari minimum 900 detik (15 menit) hingga maksimum yang ditentukan oleh pengaturan durasi sesi maksimum peran tersebut.

    Catatan

    Apakah beberapa token STS untuk peran yang sama dapat berlaku secara bersamaan?

    Ya. Beberapa token STS untuk peran yang sama dapat berlaku secara bersamaan. Setiap token berlaku hingga masa berlakunya habis, dan pembuatan token baru tidak memengaruhi token yang sudah ada.

    Apa yang harus saya lakukan jika token STS bocor?

    Jika Anda mencurigai bahwa token STS telah dikompromikan, Anda dapat segera membatalkan semua token aktif untuk peran RAM tersebut. Untuk melakukannya, Anda harus menghapus semua izin dari peran tersebut atau menghapusnya sepenuhnya.

    1. Masuk ke Konsol RAM.

    2. Untuk mencabut izin, lepas semua kebijakan dari peran RAM tersebut.

      Untuk informasi selengkapnya, lihat Mencabut izin dari peran RAM.

    3. Untuk mencabut izin, hapus peran RAM tersebut.

      Untuk informasi selengkapnya, lihat Menghapus peran RAM.

      Tindakan ini segera membatalkan semua token STS yang belum kedaluwarsa untuk peran tersebut.

    Jika Anda masih perlu menggunakan peran RAM tersebut, Anda dapat membuat peran baru dengan nama yang sama dan menyambungkan kebijakan yang sama kepadanya.

    Apakah ada panjang maksimum untuk token STS?

    Tidak. Panjang token STS bersifat variabel. Dalam kode Anda, jangan membuat asumsi mengenai panjang maksimum suatu token. Selalu izinkan token dengan panjang variabel.