全部产品
Search

搜索本产品

    Resource Access Management:Bagaimana cara memecahkan kesalahan akses ditolak?

    文档中心

    Resource Access Management:Bagaimana cara memecahkan kesalahan akses ditolak?

    更新时间:Jul 06, 2025

    Topik ini menjelaskan cara memecahkan kesalahan akses ditolak ketika Anda mengakses sumber daya Alibaba Cloud menggunakan Pengguna Resource Access Management (RAM) atau Peran RAM yang tidak memiliki izin yang diperlukan.

    Deskripsi Masalah

    Secara default, Identitas RAM seperti pengguna RAM dan peran RAM tidak memiliki izin operasi. Identitas RAM hanya dapat mengakses sumber daya cloud setelah identitas tersebut secara eksplisit diberikan izin yang diperlukan. Efek otorisasi untuk identitas RAM bisa berupa Mengizinkan atau Menolak. Ketika identitas RAM melakukan operasi pada sumber daya Alibaba Cloud, sistem melaporkan kesalahan akses ditolak jika operasi secara eksplisit atau implisit ditolak. Penolakan implisit menunjukkan bahwa identitas RAM tidak diotorisasi secara eksplisit.

    • Kesalahan akses ditolak dalam mode Akses Konsol: Permission Denied

    • Kesalahan akses ditolak dalam mode Akses OpenAPI: NoPermission, Forbidden.RAM, dan NotAuthorized

    Solusi

    Akses Konsol

    Jika Anda melakukan operasi di Konsol Manajemen Alibaba Cloud dan Anda tidak memiliki izin yang diperlukan, sistem melaporkan kesalahan berikut yang berisi penyebab dan detail kesalahan. 没有权限-zh..jpeg

    Untuk memecahkan kesalahan, lakukan langkah-langkah berikut:

    1. Identifikasi operator.

      Parameter Auth Subject memberikan detail operator.

      • Identity Type: Tipe identitas operator, termasuk pengguna RAM, peran RAM, dan identitas Single Sign-On (SSO). SSO juga dikenal sebagai federasi identitas.

      • Identity Information: Identitasnya. Jika operator adalah pengguna RAM, ID pengguna tersebut ditampilkan. Jika operator adalah peran RAM, nama dan nama sesi peran tersebut ditampilkan, seperti RoleName:RoleSessionName. Jika operator adalah identitas SSO, tipe dan nama IdP ditampilkan, seperti saml-provider/AzureAD.

      • Account ID: ID akun Alibaba Cloud tempat identitas saat ini bernaung.

    2. Identifikasi izin yang diperlukan oleh operator.

      Parameter Auth Action memberikan operasi yang tidak dimiliki operator izin untuk melaksanakannya. Anda dapat memeriksa atau memberikan izin berdasarkan operasi tersebut.

    3. Identifikasi jenis kebijakan yang menyebabkan kesalahan akses ditolak.

      Parameter Policy Type memberikan jenis kebijakan yang menyebabkan kesalahan akses ditolak. Kebijakan tersebut dapat berupa kebijakan kontrol, kebijakan sesi, kebijakan kepercayaan spesifik peran (Assume Role Policy), atau kebijakan berbasis identitas di tingkat akun atau grup sumber daya. Untuk informasi lebih lanjut, lihat Proses evaluasi kebijakan.

      Metode untuk menyesuaikan kebijakan bervariasi berdasarkan jenis kebijakan.

      • Jika operasi ditolak berdasarkan kebijakan kontrol, Anda harus menghubungi akun manajemen direktori sumber daya Anda untuk memberikan izin yang diperlukan. Kebijakan kontrol menentukan izin yang diberikan kepada anggota dalam direktori sumber daya. Keputusan dari kebijakan kontrol memiliki prioritas lebih tinggi daripada keputusan yang dibuat dalam satu akun.

      • Jika operasi ditolak berdasarkan kebijakan sesi, Anda harus menghubungi administrator akun untuk memeriksa kebijakan sesi yang dilampirkan pada operator dengan memanggil operasi AssumeRole.

      • Jika operasi ditolak berdasarkan kebijakan kepercayaan spesifik peran, Anda harus menghubungi administrator akun untuk memeriksa kebijakan kepercayaan peran RAM yang diasumsikan oleh operator.

      • Jika operasi ditolak berdasarkan kebijakan berbasis identitas, Anda harus menghubungi administrator akun untuk memeriksa kebijakan yang dilampirkan pada identitas operator.

    4. Periksa apakah penyebab kesalahan akses ditolak adalah penolakan implisit atau penolakan eksplisit.

      • Penolakan implisit: Pesan kesalahan menunjukkan bahwa Anda tidak diizinkan untuk melakukan operasi saat ini, dan parameter Auth Determination menampilkan Insufficient Permissions. Dalam hal ini, Anda harus menghubungi administrator akun untuk memberikan izin yang diperlukan. Administrator akun dapat menambahkan operasi yang ditunjukkan oleh parameter Auth Action ke dalam pernyataan Allow.

      • Penolakan eksplisit: Pesan kesalahan menunjukkan bahwa operasi saat ini secara eksplisit ditolak, dan parameter Auth Determination menampilkan Explicit Deny. Dalam hal ini, Anda harus menghubungi administrator akun untuk memeriksa izin yang diberikan dan memeriksa apakah operasi yang ditunjukkan oleh parameter Auth Action termasuk dalam pernyataan Deny.

        Catatan

        Jika kebijakan tersebut adalah kebijakan kontrol, Explicit Deny dikembalikan meskipun operasi yang ditunjukkan oleh parameter Auth Action tidak termasuk dalam pernyataan Allow.

    Jika layanan Anda mendukung diagnosis izin, Anda dapat mengklik Auth Diagnosis dalam pesan kesalahan untuk melihat penyebab dan solusi kesalahan.

    权限诊断-zh..jpeg

    Akses OpenAPI

    Jika Anda mengakses layanan menggunakan SDK Alibaba Cloud, CLI, atau OpenAPI Explorer, Anda mungkin mengalami kesalahan akses ditolak. Kesalahan yang dikembalikan mencakup detail kesalahan. Gambar berikut menunjukkan kesalahan akses ditolak yang dikembalikan ketika OpenAPI Explorer digunakan untuk mengakses layanan. image..png

    Bidang AccessDeniedDetail dalam kesalahan memberikan detail kesalahan. Untuk memecahkan kesalahan, lakukan langkah-langkah berikut:

    1. Identifikasi operator.

      • AuthPrincipalType: Tipe identitas operator. SubUser menunjukkan pengguna RAM, AssumedRoleUser menunjukkan peran RAM, dan Federated menunjukkan identitas SSO.

      • AuthPrincipalDisplayName: Identitasnya. Jika operator adalah pengguna RAM, ID pengguna tersebut ditampilkan. Jika operator adalah peran RAM, nama dan nama sesi peran tersebut ditampilkan, seperti RoleName:RoleSessionName. Jika operator adalah identitas SSO, tipe dan nama IdP ditampilkan, seperti saml-provider/AzureAD.

      • AuthPrincipalOwnerId: ID akun Alibaba Cloud tempat identitas saat ini bernaung.

    2. Identifikasi izin yang diperlukan oleh operator.

      Bidang AuthAction memberikan operasi yang tidak dimiliki operator izin untuk melaksanakannya. Anda dapat memeriksa atau memberikan izin berdasarkan operasi tersebut.

    3. Identifikasi jenis kebijakan yang menyebabkan kesalahan akses ditolak.

      Bidang PolicyType memberikan jenis kebijakan yang menyebabkan kesalahan akses ditolak. Kebijakan tersebut dapat berupa kebijakan kontrol, kebijakan sesi, kebijakan kepercayaan spesifik peran (Assume Role Policy), atau kebijakan berbasis identitas di tingkat akun atau grup sumber daya. Untuk informasi lebih lanjut, lihat Proses evaluasi kebijakan.

      Metode untuk menyesuaikan kebijakan bervariasi berdasarkan jenis kebijakan.

      • Jika operasi ditolak berdasarkan kebijakan kontrol, Anda harus menghubungi akun manajemen direktori sumber daya Anda untuk memberikan izin yang diperlukan. Kebijakan kontrol menentukan izin yang diberikan kepada anggota dalam direktori sumber daya. Keputusan dari kebijakan kontrol memiliki prioritas lebih tinggi daripada keputusan yang dibuat dalam satu akun.

      • Jika operasi ditolak berdasarkan kebijakan sesi, Anda harus menghubungi administrator akun untuk memeriksa kebijakan sesi yang dilampirkan pada operator dengan memanggil operasi AssumeRole.

      • Jika operasi ditolak berdasarkan kebijakan kepercayaan spesifik peran, Anda harus menghubungi administrator akun untuk memeriksa kebijakan kepercayaan peran RAM yang diasumsikan oleh operator.

      • Jika operasi ditolak berdasarkan kebijakan berbasis identitas, Anda harus menghubungi administrator akun untuk memeriksa kebijakan yang dilampirkan pada identitas operator.

    4. Periksa apakah penyebab kesalahan akses ditolak adalah penolakan implisit atau penolakan eksplisit.

      • Penolakan implisit: Bidang NoPermissionType menampilkan ImplicitDeny. Dalam hal ini, Anda harus menghubungi administrator akun untuk memberikan izin yang diperlukan. Administrator akun dapat menambahkan operasi yang ditunjukkan oleh bidang AuthAction ke dalam pernyataan Allow.

      • Penolakan eksplisit: Bidang NoPermissionType menampilkan ExplicitDeny. Dalam hal ini, Anda harus menghubungi administrator akun untuk memeriksa izin yang diberikan dan memeriksa apakah operasi yang ditunjukkan oleh bidang AuthAction termasuk dalam pernyataan Deny.

        Catatan

        Jika kebijakan tersebut adalah kebijakan kontrol, ExplicitDeny dikembalikan meskipun operasi yang ditunjukkan oleh bidang AuthAction tidak termasuk dalam pernyataan Allow.

    Jika layanan Anda mendukung diagnosis izin, Anda dapat membagikan informasi yang disediakan dalam EncodedDiagnosticMessage dengan administrator akun. Kemudian, administrator akun dapat pergi ke Halaman Pemecahan Masalah konsol RAM untuk memecahkan kesalahan. Administrator akun harus memiliki izin ram:DecodeDiagnosticMessage.

    权限诊断页面-zh..jpeg