全部产品
Search

搜索本产品

    Resource Access Management:FAQ Pengguna RAM

    文档中心

    Resource Access Management:FAQ Pengguna RAM

    更新时间:Nov 10, 2025

    Topik ini menjawab pertanyaan umum tentang Pengguna Manajemen Akses Sumber Daya (RAM), mencakup masalah terkait masuk, penagihan, dan izin.

    Apa URL masuk dan metode masuk untuk pengguna RAM?

    URL masuk pengguna RAM: URL masuk pengguna RAM.

    Catatan

    Anda dapat masuk ke Konsol Resource Access Management (RAM). Di halaman Overview, Anda dapat menemukan URL masuk untuk pengguna RAM. Saat menggunakan URL ini untuk masuk, sistem secara otomatis mengisi nama domain default. Anda hanya perlu memasukkan nama pengguna RAM.

    Pengguna RAM dapat masuk dengan cara berikut:

    • Metode 1: Masuk menggunakan nama domain default. Nama masuk untuk pengguna RAM dalam format <NamaPengguna>@<AliasAkun>.onaliyun.com. Sebagai contoh, username@company-alias.onaliyun.com.

      Catatan

      Nama masuk untuk pengguna RAM dalam format User Principal Name (UPN). Ini adalah nama masuk yang ditampilkan di daftar pengguna pada Konsol RAM. <NamaPengguna> adalah nama pengguna RAM, dan <AliasAkun>.onaliyun.com adalah nama domain default. Untuk informasi lebih lanjut tentang nama domain default, lihat Istilah dan Lihat dan ubah nama domain default.

    • Metode 2: Masuk menggunakan alias akun. Nama masuk untuk pengguna RAM dalam format <NamaPengguna>@<AliasAkun>. Sebagai contoh, username@company-alias.

      Catatan

      <NamaPengguna> adalah nama pengguna RAM, dan <AliasAkun> adalah alias akun. Untuk informasi lebih lanjut tentang alias akun, lihat Istilah dan Lihat dan ubah nama domain default.

    • Metode 3: Jika Anda membuat alias domain, Anda juga dapat menggunakannya untuk masuk. Nama masuk untuk pengguna RAM dalam format <NamaPengguna>@<AliasDomain>. Sebagai contoh, username@example.com.

      Catatan

      <NamaPengguna> adalah nama pengguna RAM, dan <AliasDomain> adalah alias domain. Untuk informasi lebih lanjut tentang alias domain, lihat Istilah dan Buat dan verifikasi alias domain.

    Apa itu nama domain default dan alias domain?

    Alibaba Cloud memberikan nama domain default kepada setiap Akun Alibaba Cloud. Formatnya adalah <AliasAkun>.onaliyun.com. Nama domain default berfungsi sebagai pengenal unik untuk Akun Alibaba Cloud dalam skenario seperti masuk pengguna RAM atau Single Sign-On (SSO). Untuk informasi lebih lanjut tentang cara menetapkan nama domain default, lihat Lihat dan ubah nama domain default.

    Jika Anda memiliki nama domain yang dapat diselesaikan di internet, Anda dapat menggunakannya sebagai alias domain untuk menggantikan nama domain default Anda. Alias domain adalah alias untuk nama domain default. Untuk informasi lebih lanjut tentang cara menetapkan alias domain, lihat Buat dan verifikasi alias domain.

    Catatan

    Anda harus memverifikasi kepemilikan alias domain sebelum dapat menggunakannya. Setelah berhasil memverifikasi kepemilikan, Anda dapat menggunakan alias domain menggantikan nama domain default di semua skenario yang berlaku.

    Izin apa yang dibutuhkan pengguna RAM untuk membeli produk Alibaba Cloud?

    • Untuk membeli produk Alibaba Cloud bayar sesuai penggunaan, umumnya Anda hanya perlu memberikan izin kepada pengguna RAM untuk membuat instans atau sumber daya untuk produk tertentu.

    • Untuk membeli produk Alibaba Cloud berlangganan, Anda juga perlu memberikan izin untuk membayar pesanan. Ini berarti memberikan pengguna RAM kebijakan AliyunBSSOrderAccess.

    • Saat membeli beberapa produk Alibaba Cloud, Anda mungkin perlu menggunakan atau membuat sumber daya lain. Dalam hal ini, pengguna RAM harus memiliki izin untuk membaca atau membuat sumber daya tersebut.

      Berikut adalah contoh izin yang diperlukan untuk membuat instans ECS.

      Kebijakan akses berikut memungkinkan pengguna RAM membuat instans ECS dari template peluncuran:

      {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:CreateInstance",
                "ecs:RunInstances",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      Jika pengguna RAM perlu menggunakan atau membuat sumber daya lain selama pembuatan instans ECS, Anda juga harus memberikan izin yang ditunjukkan dalam tabel berikut, tergantung pada jenis sumber daya.

      Operasi

      Kebijakan akses

      Buat instans ECS dari snapshot

      ecs:DescribeSnapshots

      Buat dan gunakan VPC baru pada saat bersamaan

      • vpc:CreateVpc

      • vpc:CreateVSwitch

      Buat dan gunakan grup keamanan baru pada saat bersamaan

      • ecs:CreateSecurityGroup

      • ecs:AuthorizeSecurityGroup

      Tentukan peran instans

      • ecs:DescribeInstanceRamRole

      • ram:ListRoles

      • ram:PassRole

      Gunakan pasangan kunci

      • ecs:CreateKeyPair

      • ecs:DescribeKeyPairs

      Buat instans ECS pada Host Khusus

      ecs:AllocateDedicatedHosts

      Catatan

    Mengapa pengguna RAM masih tidak memiliki izin akses setelah diberi izin?

    • Untuk Layanan Alibaba Cloud yang mendukung diagnostik izin, Anda dapat langsung melihat alasan penolakan akses dan solusi yang direkomendasikan. Untuk informasi lebih lanjut, lihat Bagaimana saya memecahkan kesalahan akses yang menunjukkan kurangnya izin?.

    • Untuk Layanan Alibaba Cloud yang tidak mendukung diagnostik izin, Anda dapat menganalisis penyebab dan menyelesaikan masalah berdasarkan tabel berikut.

      Penyebab

      Solusi

      Kebijakan akses salah.

      Periksa kebijakan akses pengguna RAM untuk memastikan bahwa itu benar dan sesuai dengan harapan Anda.

      Kebijakan tolak dikonfigurasi dalam kebijakan kustom.

      Periksa apakah kebijakan akses pengguna RAM atau kebijakan akses kelompok pengguna RAM tempat pengguna tersebut termasuk mengandung pernyataan dengan "Effect": "Deny" untuk sumber daya atau operasi yang relevan. Sebagai contoh, pengguna RAM memiliki izin AliyunECSReadOnlyAccess, yang memberikan akses baca-saja ke ECS. Namun, jika pengguna juga memiliki kebijakan akses berikut yang dilampirkan, pengguna tidak dapat melihat sumber daya ECS karena dalam RAM, pernyataan tolak memiliki prioritas.

      {
    "Statement": [{
        "Action": "ecs:*",
        "Effect": "Deny",
        "Resource": "*"
    }],
    "Version": "1"
}

      Sumber daya tidak mendukung metode autentikasi.

      Layanan Alibaba Cloud yang berbeda mendukung metode autentikasi yang berbeda. Periksa dan gunakan metode autentikasi yang didukung.

      Pengguna terpengaruh oleh kebijakan kontrol dalam direktori sumber daya.

      Jika Akun Alibaba Cloud tempat pengguna RAM tersebut milik adalah anggota direktori sumber daya, pengguna mungkin terpengaruh oleh kebijakan kontrol. Jika kebijakan kontrol yang menolak akses ke sumber daya diaktifkan dalam direktori sumber daya, pengguna RAM tidak dapat mengakses sumber daya tersebut. Dalam hal ini, Anda harus menghubungi akun manajemen direktori sumber daya untuk memodifikasi atau melepaskan kebijakan kontrol. Lakukan langkah-langkah berikut:

      1. Identifikasi akun manajemen direktori sumber daya tempat anggota tersebut milik.

        Untuk informasi lebih lanjut, lihat Lihat informasi direktori sumber daya tempat anggota milik.

      2. Hubungi akun manajemen untuk memodifikasi atau melepaskan kebijakan kontrol.

        Untuk informasi lebih lanjut, lihat Modifikasi kebijakan kontrol kustom atau Lepaskan kebijakan kontrol kustom.

    Mengapa pengguna RAM dapat melakukan operasi tanpa izin yang diperlukan?

    Sebagai contoh, pengguna RAM tidak memiliki kebijakan sistem AliyunECSFullAccess atau AliyunECSReadOnlyAccess untuk ECS, dan tidak ada kebijakan kustom yang dilampirkan. Namun, pengguna masih dapat melihat daftar instans.

    • Periksa apakah kebijakan akses kelompok pengguna tempat pengguna RAM tersebut milik mengandung izin yang mengizinkan operasi tersebut.

    • Konfirmasikan apakah kebijakan akses lain yang sudah diberikan kepada pengguna RAM mencakup izin yang relevan.

      Sebagai contoh, kebijakan sistem untuk CloudMonitor adalah AliyunCloudMonitorFullAccess. Kebijakan ini mencakup izin untuk melihat daftar instans ECS ("ecs:DescribeInstances"), daftar instans RDS ("rds:DescribeDBInstances"), dan daftar instans SLB ("slb:DescribeLoadBalancer"). Saat kebijakan AliyunCloudMonitorFullAccess diberikan kepada pengguna RAM, pengguna dapat melihat informasi instans untuk produk seperti ECS, RDS, dan SLB.

    Bagaimana cara memberikan izin kepada pengguna RAM untuk mengelola perpanjangan secara terpisah?

    Saat ini, tidak ada kebijakan akses terpadu untuk pengelolaan perpanjangan. Anda harus membuat kebijakan akses kustom untuk produk Alibaba Cloud tertentu. Umumnya, Anda perlu memberikan pengguna RAM izin yang diperlukan untuk membeli produk dan membayar pesanan.

    Sebagai contoh, untuk memberikan izin kepada pengguna RAM untuk mengelola perpanjangan instans ECS, Anda harus memberikan pengguna tersebut kebijakan akses kustom berikut dan kebijakan sistem AliyunBSSOrderAccess.

    {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:RenewInstance",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    Bagaimana biaya untuk sumber daya yang digunakan oleh pengguna RAM dihitung?

    • Biaya untuk sumber daya yang digunakan oleh pengguna RAM dibebankan kepada Akun Alibaba Cloud tempat pengguna tersebut milik.

    • Pengguna RAM secara otomatis menerima diskon yang dimiliki oleh Akun Alibaba Cloud. Tidak diperlukan pengaturan khusus.

    • Atribut keuangan seperti kuota pengeluaran, batas kredit, dan metode pembayaran independen adalah pengaturan global dalam Akun Alibaba Cloud dan memengaruhi semua pengguna RAM. Anda tidak dapat mengonfigurasi pengaturan ini untuk pengguna RAM individu.

    • Pengguna RAM dapat diberikan izin untuk menambah saldo akun. Jumlah top-up akan dikreditkan ke Akun Alibaba Cloud.

    • Pengguna RAM atau kelompok pengguna RAM tidak dapat digunakan sebagai pusat biaya independen untuk penagihan.

    Mengapa otorisasi RAM tidak langsung berlaku di layanan Alibaba Cloud?

    RAM menggunakan arsitektur ketersediaan tinggi (HA) yang diterapkan di beberapa wilayah dan zona. Data direplikasi di berbagai wilayah berdasarkan prinsip konsistensi akhir. Saat Anda memberikan izin di RAM, informasi otorisasi disinkronkan dan didistribusikan ke semua wilayah di seluruh dunia untuk menyediakan autentikasi bagi semua layanan Alibaba Cloud. Jika suatu zona menjadi tidak tersedia, mekanisme HA dan pemulihan bencana RAM beralih ke zona aktif lainnya.