全部产品
Search

搜索本产品

    Resource Access Management:FAQ tentang pengguna RAM

    文档中心

    Resource Access Management:FAQ tentang pengguna RAM

    更新时间:Mar 06, 2026

    Topik ini menjawab pertanyaan umum mengenai login, penagihan, dan izin Pengguna Manajemen Akses Sumber Daya (RAM).

    Apa URL login dan nama login pengguna RAM?

    Pengguna RAM dapat menggunakan URL berikut untuk login: RAM User Logon.

    Catatan

    Sebagai alternatif, Anda dapat login ke RAM console menggunakan Akun Alibaba Cloud dan menemukan URL login pengguna RAM pada halaman Overview. Jika Anda menggunakan URL pada halaman Overview untuk mengakses halaman login, sistem secara otomatis menyediakan nama domain default sehingga Anda hanya perlu memasukkan username.

    Anda dapat login ke konsol sebagai pengguna RAM dengan menggunakan salah satu format nama login berikut:

    • Nama login 1: nama domain default. Format nama login pengguna RAM adalah <UserName>@<AccountAlias>.onaliyun.com, misalnya username@company-alias.onaliyun.com.

      Catatan

      Nama login pengguna RAM menggunakan format User Principal Name (UPN). Semua nama login yang tercantum di RAM console mengikuti format ini. <UserName> menunjukkan username pengguna RAM, sedangkan <AccountAlias>.onaliyun.com menunjukkan nama domain default. Untuk informasi selengkapnya, lihat Terms dan Manage the logon suffixes of RAM users.

    • Nama login 2: alias akun. Format nama login pengguna RAM adalah <UserName>@<AccountAlias>, misalnya username@company-alias.

      Catatan

      <UserName> menunjukkan username pengguna RAM, sedangkan <AccountAlias> menunjukkan alias akun. Untuk informasi selengkapnya, lihat Terms dan Manage the logon suffixes of RAM users.

    • Nama login 3: alias domain. Jika Anda telah mengonfigurasi alias domain, Anda dapat menggunakan nama login ini. Format nama login pengguna RAM adalah <UserName>@<DomainAlias>, misalnya username@example.com.

      Catatan

      <UserName> menunjukkan username pengguna RAM, sedangkan <DomainAlias> menunjukkan alias domain. Untuk informasi selengkapnya, lihat Terms dan Create and verify a domain alias.

    Apa itu nama domain default dan alias domain?

    Nama domain default adalah pengidentifikasi unik untuk suatu Akun Alibaba Cloud. Alibaba Cloud menetapkan nama domain default untuk setiap Akun Alibaba Cloud dengan format <AccountAlias>.onaliyun.com. Pengidentifikasi unik ini dapat digunakan untuk login pengguna RAM dan Single Sign-On (SSO). Untuk informasi lebih lanjut tentang cara mengelola nama domain default, lihat Manage the logon suffixes of RAM users.

    Jika Anda memiliki nama domain kustom yang dapat di-resolve secara publik, Anda dapat menggunakannya sebagai pengganti nama domain default. Nama domain kustom ini disebut alias domain dan merupakan alias dari nama domain default. Untuk informasi selengkapnya, lihat Create and verify a domain alias.

    Catatan

    Domain kustom hanya dapat digunakan sebagai alias domain setelah kepemilikannya diverifikasi. Setelah verifikasi selesai, Anda dapat menggunakan alias domain untuk menggantikan nama domain default di semua skenario yang memerlukan nama domain default.

    Izin apa saja yang diperlukan agar pengguna RAM dapat membeli resource Alibaba Cloud?

    • Jika pengguna RAM ingin membeli layanan Alibaba Cloud dengan model bayar sesuai penggunaan, izin untuk membuat instans atau resource diperlukan.

    • Jika pengguna RAM ingin membeli resource Alibaba Cloud dengan model langganan, izin untuk membuat instans sekaligus izin untuk melakukan pembayaran diperlukan. Untuk memberikan izin pembayaran, Anda harus menyambungkan kebijakan AliyunBSSOrderAccess ke pengguna RAM tersebut.

    • Jika pengguna RAM membeli suatu resource, pengguna tersebut mungkin perlu menggunakan atau membuat resource lain. Dalam kasus ini, izin untuk membaca atau membuat resource tersebut diperlukan.

      Berikut contoh kebijakan yang mencakup izin yang diperlukan untuk membuat Instance Elastic Compute Service (ECS).

      Jika kebijakan berikut disambungkan ke pengguna RAM, pengguna tersebut dapat membuat Instance ECS dari launch template.

      {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:CreateInstance",
                "ecs:RunInstances",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      Jika pengguna RAM ingin menggunakan atau membuat resource lain saat membuat Instance ECS, izin spesifik diperlukan. Tabel berikut mencantumkan operasi pada resource lain dan kebijakan yang diperlukan.

      Operation

      Policy

      Use a snapshot to create an ECS instance

      ecs:DescribeSnapshots

      Create and use a VPC

      • vpc:CreateVpc

      • vpc:CreateVSwitch

      Create and use a security group

      • ecs:CreateSecurityGroup

      • ecs:AuthorizeSecurityGroup

      Assign a RAM role to an ECS instance

      • ecs:DescribeInstanceRamRole

      • ram:ListRoles

      • ram:PassRole

      Use an AccessKey pair

      • ecs:CreateKeyPair

      • ecs:DescribeKeyPairs

      Create an ECS instance on a dedicated host

      ecs:AllocateDedicatedHosts

      Catatan

    Mengapa pengguna RAM tidak dapat mengakses resource setelah diberikan izin yang diperlukan?

    • Untuk layanan cloud yang mendukung diagnostik izin, Anda dapat langsung melihat penyebab dan solusi masalah izin. Untuk informasi selengkapnya, lihat How do I troubleshoot an access denied error?.

    • Untuk layanan cloud yang tidak mendukung diagnostik izin, Anda dapat merujuk pada tabel berikut untuk mengidentifikasi penyebab masalah dan menanganinya.

      Cause

      Solution

      The policy is invalid.

      Periksa kebijakan yang disambungkan ke pengguna RAM untuk memastikan kebijakan tersebut valid dan sesuai dengan kebutuhan bisnis Anda.

      A Deny statement is configured in a custom policy.

      Periksa apakah "Effect": "Deny" dikonfigurasi untuk menolak akses ke resource terkait atau melarang operasi terkait dalam kebijakan yang disambungkan ke pengguna RAM maupun kebijakan yang disambungkan ke grup pengguna RAM pengguna tersebut. Misalnya, jika pengguna RAM memiliki izin read-only AliyunECSReadOnlyAccess pada Instance ECS, tetapi kebijakan berikut juga disambungkan ke pengguna RAM tersebut, maka pengguna RAM tidak dapat melihat Instance ECS karena pernyataan Deny memiliki prioritas lebih tinggi daripada pernyataan Allow.

      {
    "Statement": [{
        "Action": "ecs:*",
        "Effect": "Deny",
        "Resource": "*"
    }],
    "Version": "1"
}

      The resources do not support the related authentication method.

      Metode autentikasi bervariasi tergantung pada layanan cloud. Periksa apakah metode autentikasi yang didukung digunakan untuk resource tersebut.

      • Untuk mengetahui layanan yang mendukung autentikasi berbasis RAM, lihat Services that work with RAM.

      • Untuk mengetahui layanan yang mendukung autentikasi berbasis kelompok sumber daya, lihat Services that work with Resource Group.

      • Untuk mengetahui layanan yang mendukung otentikasi berbasis tag, login ke Resource Management console, pilih Tag > Tag di panel navigasi sebelah kiri, klik Resource Types Supported by Tag di pojok kanan atas halaman, lalu cari tipe resource yang nilai Tag Ram Support-nya adalah Support.

      The access control policy of a resource directory denies access to the resources.

      Jika Akun Alibaba Cloud tempat pengguna RAM berada merupakan anggota dari direktori sumber daya, dan kebijakan kontrol akses dikonfigurasi untuk direktori sumber daya tersebut guna menolak akses ke resource, maka pengguna RAM tidak dapat mengakses resource tersebut. Anda harus menghubungi pemilik akun manajemen direktori sumber daya untuk memodifikasi atau melepas kebijakan kontrol tersebut.

      1. Temukan akun manajemen dari direktori sumber daya tempat anggota tersebut berada.

        Untuk informasi selengkapnya, lihat Informasi tentang Direktori sumber daya tempat anggota berada.

      2. Hubungi pemilik akun manajemen untuk memodifikasi atau melepas kebijakan kontrol tersebut.

        Untuk informasi selengkapnya, lihat Modify a custom access control policy atau Detach a Custom Control Policy.

    Mengapa pengguna RAM dapat melakukan operasi pada resource tanpa memiliki izin yang diperlukan?

    Misalnya, pengguna RAM dapat melihat Instance ECS meskipun kebijakan sistem AliyunECSFullAccess, kebijakan sistem AliyunECSReadOnlyAccess, atau kebijakan kustom terkait tidak disambungkan ke pengguna RAM tersebut.

    • Periksa apakah kebijakan tersebut disambungkan ke grup pengguna RAM tempat pengguna RAM tersebut ditambahkan.

    • Periksa apakah kebijakan lain yang disambungkan ke pengguna RAM tersebut mengandung izin yang diperlukan.

      Misalnya, kebijakan sistem AliyunCloudMonitorFullAccess memberikan akses penuh ke CloudMonitor. Kebijakan ini mencakup izin berikut: "ecs:DescribeInstances", "rds:DescribeDBInstances", dan "slb:DescribeLoadBalancer". Jika kebijakan AliyunCloudMonitorFullAccess disambungkan ke pengguna RAM, pengguna tersebut dapat melihat informasi tentang Instance ECS, ApsaraDB RDS, dan Server Load Balancer (SLB).

    Bagaimana cara memberikan izin kepada pengguna RAM untuk mengelola perpanjangan?

    Anda harus membuat kebijakan kustom untuk mengelola perpanjangan layanan cloud tertentu dan menyambungkan kebijakan tersebut ke pengguna RAM. Tidak ada kebijakan pengelolaan perpanjangan yang berlaku universal untuk semua layanan cloud. Izin untuk membeli layanan tertentu dan melakukan pembayaran diperlukan agar pengguna RAM dapat mengelola perpanjangan.

    Misalnya, untuk memberikan izin kepada pengguna RAM agar dapat memperpanjang Instance ECS, Anda harus menyambungkan kebijakan kustom berikut dan kebijakan sistem AliyunBSSOrderAccess ke pengguna RAM tersebut.

    {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:RenewInstance",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    Bagaimana pengguna RAM dikenai biaya atas resource yang dikonsumsi?

    • Biaya yang dikenakan kepada pengguna RAM ditagihkan ke Akun Alibaba Cloud induk.

    • Secara default, pengguna RAM dapat menggunakan diskon yang diterapkan pada Akun Alibaba Cloud induk.

    • Konfigurasi finansial seperti anggaran konsumsi, batas kredit, dan metode pembayaran berlaku untuk semua pengguna RAM dalam suatu Akun Alibaba Cloud. Konfigurasi finansial yang berlaku khusus untuk satu pengguna RAM tidak tersedia.

    • Pengguna RAM dapat diberi otorisasi untuk menambahkan dana ke Akun Alibaba Cloud induk. Dana yang ditambahkan menjadi milik Akun Alibaba Cloud tersebut.

    • Pengguna RAM dan grup pengguna RAM tidak ditagih secara terpisah.

    Mengapa izin RAM saya tidak berlaku secara langsung?

    RAM menggunakan sistem berdaya tinggi yang tersebar di berbagai wilayah dan zona. Untuk memastikan keandalan, data izin direplikasi antar wilayah tersebut. Proses ini mengikuti prinsip konsistensi akhir (eventual consistency), yang berarti perubahan mungkin tidak langsung terlihat di semua lokasi sekaligus.

    Ketika Anda memperbarui izin di RAM, perubahan tersebut didistribusikan ke seluruh wilayah di dunia. Hal ini dapat menyebabkan penundaan singkat sebelum izin baru diakui oleh semua layanan cloud. Desain multi-wilayah ini juga memastikan bahwa jika satu zona mengalami kegagalan, sistem dapat secara otomatis beralih ke zona yang sehat agar layanan tetap berjalan.