All Products
Search
Document Center

:Istilah

Last Updated:Apr 22, 2026

Topik ini memperkenalkan konsep dasar yang digunakan dalam Resource Access Management (RAM).

Istilah untuk manajemen identitas

Istilah

Deskripsi

Akun Alibaba Cloud

Sebelum menggunakan layanan Alibaba Cloud, Anda harus membuat Akun Alibaba Cloud. Akun Alibaba Cloud merupakan pemilik sumber daya Alibaba Cloud. Semua sumber daya yang dimiliki akan dikenai biaya kepada Akun Alibaba Cloud tersebut. Akun Alibaba Cloud memiliki kontrol penuh atas sumber daya tersebut.

Secara default, hanya Akun Alibaba Cloud yang dapat mengakses sumber daya Alibaba Cloud. Pengguna lain hanya dapat mengakses sumber daya setelah secara eksplisit diberi otorisasi oleh Akun Alibaba Cloud. Akun Alibaba Cloud mirip dengan pengguna administrator atau root pada sistem operasi.

Untuk menjamin keamanan Akun Alibaba Cloud, kami menyarankan agar Anda tidak menggunakan Akun Alibaba Cloud untuk login ke Konsol Manajemen Alibaba Cloud dan tidak membuat Pasangan Kunci Akses untuk akun tersebut. Sebaiknya buat RAM user untuk Akun Alibaba Cloud dan berikan hak administratif kepada RAM user tersebut. Dengan demikian, Anda dapat menggunakan RAM user untuk mengelola sumber daya.

account administrator

Account administrator memiliki izin untuk mengelola semua sumber daya akun. Account administrator dapat berupa Akun Alibaba Cloud atau RAM user yang dilengkapi kebijakan AdministratorAccess. Kami menyarankan agar Anda menggunakan RAM user sebagai account administrator. Untuk informasi lebih lanjut, lihat Buat RAM user sebagai account administrator.

RAM administrator

RAM administrator memiliki izin untuk mengelola sumber daya RAM miliknya. RAM administrator dapat berupa Akun Alibaba Cloud atau RAM user yang dilengkapi kebijakan AliyunRAMFullAccess. Kami menyarankan agar Anda menggunakan RAM user sebagai RAM administrator.

identity

RAM menyediakan tiga jenis identitas: RAM user, RAM user group, dan RAM role. RAM user dan RAM user group merupakan identitas fisik. RAM role merupakan identitas virtual.

default domain name

Identifikasi unik dari suatu Akun Alibaba Cloud. Alibaba Cloud memberikan default domain name kepada setiap Akun Alibaba Cloud. Format default domain name adalah <AccountAlias>.onaliyun.com. <AccountAlias> menunjukkan alias dari suatu Akun Alibaba Cloud. Identifikasi unik ini dapat digunakan untuk login RAM user dan Single Sign-On (SSO).

Untuk informasi lebih lanjut, lihat Akhiran login RAM user.

account alias

Alias dari suatu Akun Alibaba Cloud. Account alias juga disebut enterprise alias. Nilai default account alias adalah ID Akun Alibaba Cloud. Nilai <AccountAlias> dalam default domain name adalah account alias. Default domain name bervariasi tergantung pada account alias. Saat RAM user login ke Konsol Manajemen Alibaba Cloud, baik account alias maupun default domain name dapat digunakan.

Jika suatu perusahaan menetapkan alias Akun Alibaba Cloud-nya menjadi company1, maka RAM user alice yang termasuk dalam Akun Alibaba Cloud tersebut dapat menggunakan alice@company1 untuk login ke Konsol Manajemen Alibaba Cloud.

Untuk informasi lebih lanjut, lihat Akhiran login RAM user.

domain alias

Nama domain kustom yang dapat Anda gunakan untuk menggantikan default domain name. Nama domain kustom harus dapat di-resolve secara publik. Domain alias merupakan alias dari default domain name.

Catatan

Domain kustom hanya dapat digunakan sebagai domain alias setelah kepemilikannya diverifikasi. Setelah verifikasi selesai, Anda dapat menggunakan domain alias untuk menggantikan default domain name di semua skenario yang memerlukan default domain name.

Untuk informasi lebih lanjut, lihat Buat dan verifikasi domain alias.

RAM user

Identitas fisik yang memiliki ID tetap dan informasi kredensial. RAM user merepresentasikan seseorang atau aplikasi. RAM user memiliki karakteristik berikut:

  • Akun Alibaba Cloud dapat membuat beberapa RAM user. RAM user dapat digunakan untuk merepresentasikan karyawan, sistem, dan aplikasi dalam suatu perusahaan.

  • RAM user tidak memiliki sumber daya. Biaya yang dihasilkan oleh RAM user akan ditagihkan ke Akun Alibaba Cloud tempat RAM user tersebut terdaftar. RAM user tidak menerima tagihan individual dan tidak dapat melakukan pembayaran.

  • RAM user hanya terlihat oleh Akun Alibaba Cloud tempat mereka terdaftar.

  • Sebelum RAM user dapat login ke Konsol Manajemen Alibaba Cloud atau memanggil operasi, mereka harus diberi otorisasi oleh Akun Alibaba Cloud. Setelah diberi otorisasi, RAM user dapat mengelola sumber daya yang dimiliki oleh Akun Alibaba Cloud.

Untuk informasi lebih lanjut, lihat Buat RAM user.

password

Kredensial identitas yang digunakan untuk login ke Konsol Manajemen Alibaba Cloud.

Catatan

Anda tidak dapat melihat kembali kata sandi logon. Kami menyarankan agar Anda mengganti kata sandi secara berkala dan menjaga kerahasiaannya.

Untuk informasi lebih lanjut, lihat Ubah kata sandi login RAM user.

AccessKey pair

AccessKey pair adalah kredensial keamanan jangka panjang untuk membuat permintaan programatis ke Alibaba Cloud. AccessKey pair terdiri dari ID AccessKey dan Rahasia AccessKey.

  • AccessKey ID: Identifier publik dan unik untuk AccessKey pair.

  • AccessKey secret: Kunci privat yang digunakan untuk menandatangani permintaan API guna memverifikasi keaslian dan integritasnya. Anda harus menjaga kerahasiaan AccessKey secret Anda secara ketat.

Resource Access Management (RAM) menghasilkan ID AccessKey dan Rahasia AccessKey menggunakan algoritma tertentu. Alibaba Cloud mengenkripsi keduanya selama penyimpanan maupun transmisi.

Untuk informasi lebih lanjut, lihat Buat AccessKey pair.

MFA

Peningkatan keamanan yang menambahkan lapisan perlindungan tambahan selain username dan password Anda. Autentikasi Multi-Faktor (MFA) meningkatkan keamanan akun Anda. Jika MFA diaktifkan untuk RAM user, RAM user tersebut harus melakukan langkah-langkah berikut saat login ke Konsol Manajemen Alibaba Cloud:

  1. Masukkan username dan password akun Anda.

  2. Masukkan kode verifikasi yang dihasilkan oleh perangkat MFA virtual. Atau, lakukan autentikasi U2F.

Untuk informasi lebih lanjut, lihat Ikatan perangkat MFA.

RAM user group

Identitas fisik yang berisi sekelompok RAM user. Anda dapat membuat RAM user group untuk mengklasifikasikan dan memberikan otorisasi kepada RAM user. Hal ini menyederhanakan pengelolaan RAM user dan izin.

  • Jika izin suatu RAM user berubah, Anda cukup memindahkan RAM user tersebut ke RAM user group yang memiliki izin yang dibutuhkan. Hal ini tidak memengaruhi RAM user lainnya.

    Untuk informasi lebih lanjut, lihat Buat grup pengguna.

  • Jika izin suatu RAM user group berubah, Anda cukup memodifikasi kebijakan yang dilampirkan pada grup tersebut. Perubahan kebijakan akan berlaku untuk semua RAM user dalam RAM user group tersebut.

    Untuk informasi lebih lanjut, lihat Berikan izin kepada grup.

RAM role

Identitas virtual yang dapat dilengkapi kebijakan. RAM role tidak memiliki kredensial identitas permanen, seperti kata sandi logon atau AccessKey pair. RAM role hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah RAM role diasumsikan oleh entitas tepercaya, entitas tersebut dapat memperoleh token Layanan Keamanan (STS) dan menggunakan token STS tersebut untuk mengakses sumber daya Alibaba Cloud sebagai RAM role tersebut.

RAM role diklasifikasikan menjadi beberapa jenis berdasarkan entitas tepercayanya:

  • Akun Alibaba Cloud: Jenis RAM role ini digunakan untuk akses lintas akun dan otorisasi sementara. RAM user yang mengasumsikan jenis RAM role ini hanya dapat berasal dari Akun Alibaba Cloud tepercaya. Akun Alibaba Cloud tepercaya tersebut dapat berupa Akun Alibaba Cloud saat ini atau Akun Alibaba Cloud lainnya. Untuk informasi lebih lanjut, lihat Buat RAM role untuk Akun Alibaba Cloud tepercaya.

  • Layanan Alibaba Cloud: Jenis RAM role ini digunakan untuk memberikan otorisasi akses lintas layanan Alibaba Cloud. Hanya layanan Alibaba Cloud tepercaya yang dapat mengasumsikan jenis RAM role ini. Untuk informasi lebih lanjut, lihat Buat RAM role untuk layanan Alibaba Cloud tepercaya dan Peran yang ditautkan layanan.

  • Penyedia identitas (IdP): Jenis RAM role ini digunakan untuk menerapkan SSO antara Alibaba Cloud dan IdP tepercaya. Hanya pengguna dari IdP tepercaya yang dapat mengasumsikan jenis RAM role ini. Untuk informasi lebih lanjut, lihat Buat RAM role untuk IdP tepercaya.

SP

Aplikasi yang menggunakan fitur manajemen identitas dari IdP untuk menyediakan layanan tertentu kepada pengguna. Penyedia layanan (SP) menggunakan informasi pengguna yang disediakan oleh IdP. Dalam beberapa sistem identitas, seperti OpenID Connect (OIDC) yang tidak sesuai dengan protokol SAML, SP dikenal sebagai pihak yang bergantung dari IdP.

IdP

Entitas RAM yang menyediakan layanan manajemen identitas. IdP diklasifikasikan menjadi beberapa jenis:

  • IdP yang menggunakan arsitektur on-premises, seperti Microsoft Active Directory Federation Service (AD FS) dan Shibboleth.

  • IdP yang menggunakan arsitektur berbasis cloud, seperti Identity as a Service (IDaaS), Microsoft Entra ID, Google Workspace, Okta, dan OneLogin.

SAML 2.0

Protokol yang dirancang untuk otentikasi identitas pengguna tingkat perusahaan. Security Assertion Markup Language 2.0 (SAML 2.0) digunakan untuk komunikasi antara SP dan IdP. SAML 2.0 merupakan standar yang digunakan perusahaan untuk menerapkan Single Sign-On (SSO).

SSO

Alibaba Cloud mendukung SSO berbasis SAML 2.0 dan OIDC. Fitur ini juga dikenal sebagai federasi identitas. Alibaba Cloud menyediakan metode SSO berikut:

  • SSO berbasis pengguna

    Identitas RAM user yang dapat Anda gunakan untuk login ke Konsol Manajemen Alibaba Cloud ditentukan berdasarkan pernyataan SAML. Setelah login ke Konsol Manajemen Alibaba Cloud, Anda dapat mengakses sumber daya Alibaba Cloud sebagai RAM user. Untuk informasi lebih lanjut, lihat Ikhtisar.

  • SSO berbasis peran

    • SSO berbasis SAML 2.0: RAM role yang dapat Anda gunakan untuk login ke Konsol Manajemen Alibaba Cloud ditentukan berdasarkan pernyataan SAML. Setelah login ke Konsol Manajemen Alibaba Cloud, Anda dapat menggunakan RAM role yang ditentukan dalam pernyataan SAML untuk mengakses sumber daya Alibaba Cloud. Untuk informasi lebih lanjut, lihat Ikhtisar.

    • SSO berbasis OIDC: Anda dapat menggunakan token OIDC yang dikeluarkan oleh IdP untuk memanggil operasi Alibaba Cloud guna mengasumsikan RAM role tertentu dan menggunakan token OIDC tersebut untuk memperoleh token STS. Kemudian, Anda dapat menggunakan token STS tersebut untuk mengakses sumber daya Alibaba Cloud. Untuk informasi lebih lanjut, lihat Ikhtisar.

metadata file

File metadata yang disediakan oleh IdP Anda. File metadata umumnya dalam format XML. File metadata berisi URL login, kunci publik yang digunakan untuk memverifikasi pernyataan SAML, dan format pernyataan.

SAML assertion

Elemen inti yang didefinisikan dalam protokol SAML. Elemen ini menggambarkan permintaan dan respons otentikasi. Misalnya, pernyataan SAML untuk respons otentikasi dapat berisi atribut pengguna.

trust

Hubungan kepercayaan timbal balik antara SP dan IdP. Umumnya, hubungan kepercayaan ini dibangun menggunakan kunci publik dan privat. SP dapat memperoleh metadata SAML dari IdP tepercaya. Metadata tersebut mencakup kunci publik. SP menggunakan kunci publik tersebut untuk memverifikasi integritas pernyataan SAML yang dikeluarkan oleh IdP.

Istilah untuk kontrol akses

Istilah

Deskripsi

permission

Menunjukkan apakah pengguna diizinkan untuk melakukan operasi tertentu pada sumber daya Alibaba Cloud tertentu. Izin mencakup Allow dan Deny.

Operasi mencakup dua jenis berikut:

  • Operasi manajemen sumber daya: manajemen siklus hidup dan O&M sumber daya Alibaba Cloud. Operasi ini dilakukan oleh Akun Alibaba Cloud yang membeli sumber daya atau oleh staf O&M dalam organisasi. Misalnya, pengguna yang diotorisasi dapat membuat, menghentikan, atau me-restart Instance Elastic Compute Service (ECS), atau membuat, memodifikasi, atau menghapus Bucket Object Storage Service (OSS).

  • Operasi penggunaan sumber daya: operasi pada fitur inti sumber daya Alibaba Cloud. Operasi ini dilakukan oleh staf R&D atau aplikasi dalam organisasi. Misalnya, pengguna yang diotorisasi dapat melakukan operasi dalam sistem operasi Instance ECS, atau mengunggah atau mengunduh data di OSS.

    Catatan
    • Untuk layanan komputasi elastis dan database, izin untuk operasi manajemen sumber daya dapat dikelola menggunakan RAM. Namun, izin untuk operasi penggunaan sumber daya dikelola dalam instans layanan. Misalnya, izin untuk sistem operasi dikelola dalam Instance ECS dan izin untuk database MySQL dikelola dalam Instance ApsaraDB RDS.

    • Untuk layanan penyimpanan, seperti OSS dan Tablestore, baik operasi manajemen sumber daya maupun operasi penggunaan sumber daya dapat dikelola menggunakan RAM.

policy

Sekumpulan izin yang dijelaskan berdasarkan struktur dan sintaks kebijakan. Anda dapat menggunakan kebijakan untuk menggambarkan himpunan sumber daya yang diotorisasi, himpunan operasi yang diotorisasi, dan kondisi otorisasi. Kebijakan merupakan spesifikasi bahasa sederhana yang menggambarkan sekumpulan izin. Untuk informasi lebih lanjut, lihat Struktur dan sintaks kebijakan.

Dalam RAM, kebijakan merupakan entitas sumber daya. RAM mendukung dua jenis kebijakan berikut:

  • System policy: Kebijakan sistem dibuat dan ditingkatkan oleh Alibaba Cloud. Anda dapat menggunakan kebijakan sistem tetapi tidak dapat memodifikasinya.

  • Custom policy: Anda dapat membuat, memodifikasi, menghapus, dan meningkatkan kebijakan kustom untuk memenuhi kebutuhan bisnis Anda.

Anda dapat melampirkan satu atau beberapa kebijakan ke RAM user, RAM user group, dan RAM role. Untuk informasi lebih lanjut, lihat Berikan izin kepada RAM user, Berikan izin kepada grup, dan Kelola izin RAM role.

principal

Subjek yang diberikan izin tertentu. Principal yang diotorisasi dapat berupa RAM user, RAM user group, atau RAM role.

effect

Efek otorisasi. Effect merupakan elemen dasar kebijakan. Nilai yang valid adalah Allow dan Deny.

action

Operasi yang akan dilakukan pada sumber daya Alibaba Cloud tertentu. Action merupakan elemen dasar kebijakan. Nilai yang valid adalah nama operasi dari layanan Alibaba Cloud.

condition

Kondisi agar otorisasi berlaku. Condition merupakan elemen dasar kebijakan.

resource

Objek yang dapat dikelola yang disediakan oleh layanan Alibaba Cloud. Misalnya, objek tersebut dapat berupa Bucket OSS dan Instance ECS.

ARN

Nama unik global yang digunakan untuk mengidentifikasi sumber daya di Alibaba Cloud. Saat memberikan izin pada sumber daya, Anda harus menentukan Nama Sumber Daya Alibaba Cloud (ARN) dalam format acs:<ram-code>:<region>:<account-id>:<relative-id>.

  • acs: singkatan dari Alibaba Cloud Service, yang menunjukkan cloud publik Alibaba Cloud.

  • ram-code: kode yang digunakan dalam RAM untuk menunjukkan layanan Alibaba Cloud. Untuk informasi lebih lanjut, lihat kode yang tercantum dalam kolom RAM code di Layanan yang bekerja dengan RAM.

  • region: informasi wilayah. Parameter ini diatur sebagai tanda bintang (*) untuk sumber daya global. Sumber daya global dapat diakses tanpa perlu menentukan wilayah. Untuk informasi lebih lanjut, lihat Wilayah dan zona.

  • account-id: ID akun penyewa Apsara Stack. Misalnya, Anda dapat memasukkan 123456789012****.

  • relative-id: identifier sumber daya terkait layanan. Makna elemen ini bervariasi tergantung layanan. Format bidang relative-id mirip dengan path file. Misalnya, relative-id = "mybucket/dir1/object1.jpg" menunjukkan objek OSS.