全部产品
Search

搜索本产品

    Resource Access Management:FAQ tentang Peran RAM dan Token STS

    文档中心

    Resource Access Management:FAQ tentang Peran RAM dan Token STS

    更新时间:Nov 10, 2025

    Topik ini menjawab beberapa pertanyaan umum terkait Peran Manajemen Akses Sumber Daya (RAM) dan Token Layanan Keamanan (STS).

    Mengapa pesan kesalahan "Anda tidak memiliki otorisasi untuk melakukan tindakan ini. Anda harus diotorisasi oleh RAM." dilaporkan saat menggunakan STS?

    Ketika memanggil operasi AssumeRole untuk mendapatkan token STS, pesan kesalahan berikut dapat muncul:

    Pesan kesalahan: Anda tidak memiliki otorisasi untuk melakukan tindakan ini. Anda harus diotorisasi oleh RAM.

    Berikut adalah solusi yang dapat digunakan untuk menyelesaikan masalah tersebut:

    • Anda menggunakan Akun Alibaba Cloud untuk memanggil operasi tersebut.

      Operasi AssumeRole tidak dapat dipanggil oleh Akun Alibaba Cloud. Operasi ini hanya dapat dipanggil oleh Pengguna RAM atau Peran RAM.

    • Pengguna RAM atau Peran RAM yang memulai pemanggilan kekurangan kebijakan izin yang diperlukan untuk mengasumsikan peran melalui STS.

      Hubungkan kebijakan sistem (AliyunSTSAssumeRoleAccess) atau kebijakan kustom ke Pengguna RAM atau Peran RAM yang memulai pemanggilan. Untuk contoh kebijakan kustom, lihat Contoh Kebijakan.

    • Kebijakan kepercayaan dari Peran RAM yang ingin Anda asumsikan tidak mencakup Pengguna RAM atau Peran RAM yang memulai pemanggilan.

      Modifikasi kebijakan kepercayaan dari Peran RAM yang ingin Anda asumsikan untuk mengizinkan Pengguna RAM atau Peran RAM mengasumsikan Peran RAM ini. Untuk informasi lebih lanjut, lihat Edit kebijakan kepercayaan dari Peran RAM.

    Siapa yang diizinkan untuk memanggil operasi AssumeRole?

    Operasi AssumeRole digunakan untuk mendapatkan token STS guna mengasumsikan Peran RAM. Hanya Pengguna RAM atau Peran RAM yang dapat memanggil operasi ini. Akun Alibaba Cloud tidak dapat memanggil operasi ini.

    Apa saja jenis-jenis Peran RAM? Entitas apa yang dapat mengasumsikan peran-peran ini?

    Berdasarkan entitas tepercaya dalam RAM, ada tiga jenis Peran RAM yang didukung:

    • Peran RAM dengan entitas tepercaya berupa Akun Alibaba Cloud: Pengguna RAM atau Peran RAM dalam Akun Alibaba Cloud dapat mengasumsikan jenis peran ini. Pengguna RAM atau Peran RAM yang mengasumsikan jenis peran ini dapat berasal dari akun mereka sendiri atau akun lainnya. Jenis Peran RAM ini digunakan untuk akses lintas akun dan otorisasi sementara.

    • Peran RAM dengan entitas tepercaya berupa Layanan Alibaba Cloud: Layanan Alibaba Cloud dapat mengasumsikan jenis Peran RAM ini. Peran RAM yang dapat diasumsikan oleh layanan Alibaba Cloud diklasifikasikan menjadi dua jenis: peran layanan normal dan peran terkait layanan. Untuk informasi lebih lanjut tentang peran terkait layanan, lihat peran terkait layanan. Jenis Peran RAM ini digunakan untuk mengotorisasi akses lintas layanan Alibaba Cloud.

    • Peran RAM dengan entitas tepercaya berupa Penyedia Identitas (IdP): Pengguna dari IdP tepercaya dapat mengasumsikan jenis Peran RAM ini. Jenis Peran RAM ini digunakan untuk mengimplementasikan Single Sign-On (SSO) berbasis peran antara Alibaba Cloud dan IdP tepercaya.

    Bagaimana cara membatasi Pengguna RAM tertentu untuk mengasumsikan Peran RAM tertentu?

    1. Modifikasi kebijakan kepercayaan Peran RAM.

      Dalam kebijakan kepercayaan Peran RAM, gunakan Principal untuk menentukan Pengguna RAM yang diizinkan mengasumsikan peran ini. Dalam kebijakan tersebut, <account-id> menentukan ID Akun Alibaba Cloud, dan <user-name> menentukan nama Pengguna RAM. Untuk informasi lebih lanjut, lihat Edit kebijakan kepercayaan dari Peran RAM.

      Contoh kebijakan kepercayaan:

      {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::<account-id>:user/<user-name>"
                ]
            }
        }
    ],
    "Version": "1"
}

    2. Berikan izin kepada Pengguna RAM untuk mengasumsikan peran.

      Berikan kepada Pengguna RAM kebijakan sistem (AliyunSTSAssumeRoleAccess) atau kebijakan kustom. Kebijakan kustom dapat mempersempit cakupan peran yang dapat diasumsikan.

      Dalam kebijakan kustom, gunakan Resource untuk menentukan ARN dari Peran RAM yang dapat diasumsikan. Dalam kebijakan tersebut, <account-id> menentukan ID Akun Alibaba Cloud, dan <role-name> menentukan nama Peran RAM. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom dan Berikan izin kepada Pengguna RAM.

      Contoh kebijakan:

      {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "acs:ram:*:<account-id>:role/<role-name>"
        }
    ],
    "Version": "1"
}

    Bagaimana cara melihat ARN dari Peran RAM?

    1. Masuk ke Konsol RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Roles.

    3. Klik nama Peran RAM target.

    4. Di bagian Basic Information, lihat ARN Peran RAM. RAM角色ARN

    Apakah jumlah permintaan API STS dibatasi?

    Operasi AssumeRole dapat dipanggil hingga 100 kali per detik. Batas ini dibagikan oleh Akun Alibaba Cloud dan semua Pengguna RAM serta Peran RAM dalam akun tersebut.

    Jika jumlah permintaan API melebihi batas atas, salah satu pesan kesalahan berikut akan dikembalikan:

    • Pesan kesalahan

      Kode kesalahan

      Pesan kesalahan

      Throttling.Api

      Permintaan ditolak karena pengendalian aliran API.

      Throttling.User

      Permintaan ditolak karena pengendalian aliran pengguna.

      Throttling

      Permintaan ditolak karena pengendalian aliran.

    • Kode status HTTP 302

    Jika salah satu pesan kesalahan di atas dikembalikan, kurangi jumlah panggilan API bersamaan. Jika skenario bisnis Anda memerlukan tingkat panggilan bersamaan yang lebih tinggi, ajukan tiket untuk meminta peningkatan kuota.

    Apa saja izin dari token STS?

    AssumeRole Izin dari token STS merupakan irisan dari izin Peran RAM yang ditentukan dan izin yang ditentukan dalam parameter Policy saat Anda memanggil operasi AssumeRole.

    Catatan

    Jika Anda tidak menentukan parameter Policy saat memanggil operasi AssumeRole, token STS yang dikembalikan akan memiliki semua izin dari Peran RAM yang ditentukan.

    Berapa periode validitas token STS?

    Periode validitas token STS berkisar antara 900 detik hingga durasi sesi maksimum yang Anda tentukan. Periode validitas default adalah 3.600 detik.

    Catatan

    • Gunakan parameter DurationSeconds dari operasi AssumeRole untuk menentukan periode validitas token STS.

    • Gunakan Konsol RAM atau panggil API untuk mengonfigurasi durasi sesi maksimum dari Peran RAM. Untuk informasi lebih lanjut, lihat Tentukan durasi sesi maksimum untuk Peran RAM.

    Jika saya memperoleh beberapa token STS pada titik waktu yang berbeda, apakah token lama dan baru valid pada saat yang sama?

    Semua token STS tetap valid hingga kedaluwarsa, terlepas dari apakah token STS baru telah dibuat.

    Apa yang harus saya lakukan jika token STS terungkap?

    Jika token STS yang diperoleh setelah Pengguna RAM mengasumsikan Peran RAM terungkap, ikuti langkah-langkah berikut untuk menonaktifkan token STS:

    1. Masuk ke Konsol RAM.

    2. Lepaskan semua kebijakan dari Peran RAM.

      Untuk informasi lebih lanjut, lihat Cabut izin dari Peran RAM.

    3. Hapus Peran RAM.

      Untuk informasi lebih lanjut, lihat Hapus Peran RAM.

      Setelah Peran RAM dihapus, semua token STS yang diperoleh dengan mengasumsikan Peran RAM ini dan belum kedaluwarsa akan langsung menjadi tidak valid.

    Jika Anda masih perlu menggunakan Peran RAM ini, buat peran baru dengan nama yang sama dan hubungkan kebijakan yang sama untuk melanjutkan tugas Anda dengan Peran RAM yang baru dibuat.

    Berapa panjang maksimum untuk token STS?

    STS Alibaba Cloud tidak memberlakukan batasan pada panjang token STS. Kami sangat menyarankan agar Anda tidak menentukan panjang maksimum untuk token STS.