Istilah RAM - - 阿里云

Topik ini menjelaskan konsep dasar Resource Access Management (RAM) untuk membantu Anda menggunakan layanan tersebut secara efektif.

Konsep manajemen identitas

Konsep	Deskripsi
Akun Alibaba Cloud	Sebelum Anda menggunakan layanan Alibaba Cloud, Anda harus terlebih dahulu mendaftarkan Akun Alibaba Cloud. Akun Alibaba Cloud adalah entitas dasar untuk kepemilikan sumber daya, pengukuran penggunaan sumber daya, dan penagihan. Akun Alibaba Cloud membayar untuk sumber dayanya dan memiliki kontrol penuh atas mereka. Secara default, hanya Akun Alibaba Cloud yang dapat mengakses sumber dayanya. Pengguna lain memerlukan otorisasi eksplisit dari Akun Alibaba Cloud untuk mengakses sumber daya tersebut. Akun Alibaba Cloud seperti akar atau pengguna Administrator dalam sistem operasi. Untuk alasan ini, kadang-kadang disebut sebagai akun root atau akun utama. Untuk memastikan keamanan Akun Alibaba Cloud Anda, hindari menggunakannya untuk masuk ke konsol atau membuat Pasangan Kunci Akses untuknya kecuali diperlukan. Buat Pengguna RAM di bawah Akun Alibaba Cloud Anda, berikan izin administrator kepada Pengguna RAM, lalu gunakan Pengguna RAM untuk melakukan operasi manajemen.
Administrator akun	Seorang administrator akun memiliki izin untuk mengelola semua sumber daya dalam sebuah akun. Administrator akun bisa menjadi Akun Alibaba Cloud atau Pengguna RAM yang memiliki izin AdministratorAccess. Untuk alasan keamanan, praktik terbaiknya adalah menggunakan Pengguna RAM sebagai administrator akun. Untuk informasi lebih lanjut, lihat Buat administrator akun.
Administrator RAM	Seorang administrator RAM memiliki izin untuk mengelola sumber daya RAM dalam sebuah akun. Administrator RAM bisa menjadi Akun Alibaba Cloud atau Pengguna RAM yang memiliki izin AliyunRAMFullAccess. Untuk alasan keamanan, praktik terbaiknya adalah menggunakan Pengguna RAM sebagai administrator RAM.
Identitas	RAM memiliki tiga jenis identitas: Pengguna RAM, kelompok pengguna, dan Peran RAM. Pengguna RAM dan kelompok pengguna adalah jenis identitas entitas dalam RAM. Peran RAM adalah identitas pengguna virtual.
Nama domain default	Alibaba Cloud memberikan Default Domain Name kepada setiap Akun Alibaba Cloud dalam format `<AccountAlias>.onaliyun.com`, di mana `<AccountAlias>` mewakili alias akun. Nama domain default dapat digunakan sebagai pengenal unik untuk Akun Alibaba Cloud dalam skenario seperti logon Pengguna RAM atau SSO. Untuk informasi lebih lanjut tentang cara menetapkan nama domain default, lihat Lihat dan ubah nama domain default.
Alias akun	Alias akun juga disebut alias perusahaan. Nilai default dari alias akun adalah ID Akun Alibaba Cloud `<AccountID>`. Alias akun adalah bagian `<AccountAlias>` dari nama domain default. Saat Anda menetapkan nama domain default, Anda juga menetapkan alias akun. Untuk logon Pengguna RAM, alias akun dan nama domain default setara. Anda dapat menggunakan salah satu untuk masuk. Sebagai contoh, sebuah perusahaan dapat menetapkan alias akun Akun Alibaba Cloud-nya menjadi company1. Kemudian, seorang Pengguna RAM bernama alice di bawah akun ini dapat menggunakan alice@company1 untuk masuk ke Konsol Manajemen Alibaba Cloud. Untuk informasi lebih lanjut tentang cara menetapkan alias akun, lihat Lihat dan ubah nama domain default.
Alias domain	Jika Anda memiliki nama domain yang dapat diselesaikan di Internet, Anda dapat menggunakannya untuk menggantikan nama domain default Anda. Ini dikenal sebagai Domain Alias. Alias domain adalah alias dari nama domain default. Catatan Anda harus menyelesaikan verifikasi kepemilikan domain sebelum Anda dapat menggunakan alias domain. Setelah verifikasi berhasil, Anda dapat menggunakan alias domain untuk menggantikan nama domain default di semua skenario di mana nama domain default diperlukan. Untuk informasi lebih lanjut tentang cara menetapkan alias domain, lihat Buat dan verifikasi alias domain.
Pengguna RAM	Pengguna RAM adalah jenis identitas entitas dalam RAM. Pengguna RAM memiliki ID identitas tertentu dan kredensial identitas. Seorang Pengguna RAM biasanya sesuai dengan orang atau aplikasi tertentu. Pengguna RAM memiliki fitur-fitur berikut: Anda dapat membuat beberapa Pengguna RAM di bawah Akun Alibaba Cloud. Pengguna-pengguna ini dapat sesuai dengan karyawan, sistem, atau aplikasi dalam perusahaan Anda. Pengguna RAM tidak memiliki sumber daya dan tidak dapat diukur atau ditagih secara independen. Penggunaan mereka dikendalikan dan dibayar oleh Akun Alibaba Cloud tempat mereka berada. Pengguna RAM termasuk dalam Akun Alibaba Cloud dan hanya terlihat dalam lingkup akun tersebut. Mereka bukan Akun Alibaba Cloud yang independen. Pengguna RAM harus diberi izin oleh Akun Alibaba Cloud sebelum mereka dapat masuk ke konsol atau menggunakan API untuk mengoperasikan sumber daya di bawah akun tersebut. Untuk informasi lebih lanjut tentang cara membuat Pengguna RAM, lihat Buat Pengguna RAM.
Kata sandi logon	Kata sandi logon adalah kredensial identitas yang digunakan untuk masuk ke Alibaba Cloud. Ini membuktikan identitas asli seorang pengguna. Catatan Kata sandi logon tidak dapat diquery. Jaga kata sandi Anda tetap aman dan ubah secara berkala. Untuk informasi lebih lanjut tentang cara menetapkan kata sandi logon untuk Pengguna RAM, lihat Ubah kata sandi logon Pengguna RAM.
Pasangan Kunci Akses	Pasangan Kunci Akses adalah kredensial akses permanen yang disediakan oleh Alibaba Cloud kepada pengguna. Pasangan Kunci Akses terdiri dari ID Kunci Akses dan Rahasia Kunci Akses. ID Kunci Akses digunakan untuk mengidentifikasi pengguna. Rahasia Kunci Akses adalah kunci rahasia yang digunakan untuk menandatangani permintaan secara kriptografis. ID Kunci Akses dan Rahasia Kunci Akses dihasilkan oleh RAM berdasarkan algoritma. Alibaba Cloud mengenkripsi ID Kunci Akses dan Rahasia Kunci Akses selama penyimpanan dan transmisi. Anda tidak dapat menggunakan Pasangan Kunci Akses untuk masuk ke konsol. Sebaliknya, Anda menggunakannya untuk akses programatik ke Alibaba Cloud melalui alat pengembangan seperti API, CLI, SDK, atau Terraform. Alat-alat ini menggunakan Pasangan Kunci Akses untuk menandatangani permintaan, yang memverifikasi identitas Anda dan validitas permintaan. Untuk informasi lebih lanjut tentang cara membuat Pasangan Kunci Akses, lihat Buat Pasangan Kunci Akses.
MFA	Otentikasi multi-faktor (MFA) adalah praktik keamanan sederhana dan efektif yang menambahkan lapisan perlindungan ekstra di atas nama pengguna dan kata sandi. Faktor-faktor ini bergabung untuk memberikan keamanan yang lebih besar untuk akun Anda. Setelah Anda mengaktifkan MFA, Anda diminta untuk memasukkan dua faktor keamanan saat masuk ke Alibaba Cloud: Faktor keamanan pertama: Masukkan nama pengguna dan kata sandi Anda. Faktor keamanan kedua: Masukkan kode verifikasi yang dihasilkan oleh perangkat MFA virtual, atau autentikasi dengan kunci keamanan U2F. Untuk informasi lebih lanjut tentang cara menyiapkan MFA, lihat Tautkan perangkat MFA ke Pengguna RAM.
Kelompok Pengguna RAM	Kelompok pengguna adalah jenis identitas entitas dalam RAM. Anda dapat menggunakan kelompok pengguna untuk mengklasifikasikan dan memberikan izin kepada Pengguna RAM yang memiliki tanggung jawab yang sama. Ini membantu Anda mengelola pengguna dan izin mereka dengan lebih baik. Jika tanggung jawab Pengguna RAM berubah, Anda cukup memindahkan pengguna ke kelompok pengguna lain yang sesuai dengan tanggung jawab baru mereka. Ini tidak memengaruhi Pengguna RAM lainnya. Untuk informasi lebih lanjut tentang cara membuat kelompok pengguna, lihat Buat kelompok Pengguna RAM. Saat izin kelompok pengguna berubah, Anda hanya perlu memodifikasi kebijakan akses kelompok pengguna. Perubahan tersebut kemudian diterapkan ke semua Pengguna RAM dalam kelompok tersebut. Untuk informasi lebih lanjut tentang cara memberikan izin kepada kelompok pengguna, lihat Berikan izin kepada kelompok Pengguna RAM.
Peran RAM	Peran RAM adalah pengguna virtual yang dapat Anda berikan serangkaian kebijakan akses. Tidak seperti Pengguna RAM, Peran RAM tidak memiliki kredensial identitas permanen, seperti kata sandi logon atau Pasangan Kunci Akses. Peran RAM harus diasumsikan oleh entitas tepercaya. Setelah entitas tepercaya mengasumsikan peran tersebut, entitas tersebut mendapatkan kredensial identitas sementara, yaitu token Layanan Keamanan (STS). Entitas tersebut kemudian dapat menggunakan token STS untuk mengakses sumber daya yang diizinkan sebagai Peran RAM. Peran RAM diklasifikasikan ke dalam jenis-jenis berikut berdasarkan entitas tepercaya: Peran RAM yang dapat diasumsikan oleh Akun Alibaba Cloud: Jenis peran ini digunakan untuk akses lintas akun dan otorisasi sementara. Ini hanya dapat diasumsikan oleh Pengguna RAM di bawah Akun Alibaba Cloud yang tepercaya. Akun Alibaba Cloud yang tepercaya bisa menjadi akun saat ini atau akun lainnya. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Akun Alibaba Cloud yang tepercaya. Peran RAM yang dapat diasumsikan oleh Layanan Alibaba Cloud: Jenis peran ini digunakan untuk otorisasi lintas layanan. Ini hanya dapat diasumsikan oleh Layanan Alibaba Cloud yang tepercaya. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Layanan Alibaba Cloud yang tepercaya dan Peran Terkait Layanan. Peran RAM yang dapat diasumsikan oleh penyedia identitas: Jenis peran ini digunakan untuk mengimplementasikan SSO dengan Alibaba Cloud. Ini hanya dapat diasumsikan oleh pengguna dari penyedia identitas yang tepercaya. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk penyedia identitas.
Penyedia layanan (SP)	Aplikasi yang menggunakan fitur manajemen identitas dari penyedia identitas (IdP) untuk menyediakan layanan tertentu kepada pengguna. SP menggunakan informasi pengguna yang disediakan oleh IdP. Beberapa sistem identitas non-SAML, seperti OpenID Connect (OIDC), juga merujuk SP sebagai pihak yang bergantung pada IdP.
Penyedia identitas (IdP)	Entitas RAM yang berisi metadata dari penyedia identitas eksternal. Penyedia identitas dapat menyediakan layanan manajemen identitas. IdP lokal: seperti Microsoft Active Directory Federation Services (AD FS) dan Shibboleth. IdP cloud: seperti IDaaS, Microsoft Entra ID, Google Workspace, Okta, dan OneLogin.
Bahasa Markup Penegasan Keamanan 2.0 (SAML 2.0)	Protokol standar untuk otentikasi identitas pengguna perusahaan. Ini adalah salah satu implementasi teknis yang memungkinkan komunikasi antara SP dan IdP. SAML 2.0 adalah standar de facto untuk mengimplementasikan SSO perusahaan.
SSO	Alibaba Cloud mendukung single sign-on (SSO) berbasis Bahasa Markup Penegasan Keamanan 2.0 (SAML 2.0) dan OpenID Connect (OIDC). SSO juga dikenal sebagai logon federasi. Alibaba Cloud menyediakan metode SSO berikut: SSO berbasis pengguna Alibaba Cloud menggunakan pernyataan SAML yang dikeluarkan oleh IdP untuk memetakan pengguna perusahaan ke Pengguna RAM Alibaba Cloud. Setelah pengguna perusahaan masuk, pengguna mengakses sumber daya Alibaba Cloud sebagai Pengguna RAM yang dipetakan. Untuk informasi lebih lanjut, lihat Ikhtisar SSO berbasis pengguna. SSO berbasis peran SSO peran berbasis SAML: Alibaba Cloud menggunakan pernyataan SAML yang dikeluarkan oleh IdP untuk menentukan Peran RAM yang dapat diasumsikan oleh pengguna perusahaan di Alibaba Cloud. Setelah pengguna perusahaan masuk, pengguna tersebut mengasumsikan Peran RAM yang ditentukan dalam pernyataan SAML untuk mengakses sumber daya Alibaba Cloud. Lihat Ikhtisar SSO peran berbasis SAML. SSO peran berbasis OIDC: Pengguna perusahaan menggunakan token OIDC yang dikeluarkan oleh IdP untuk memanggil API Alibaba Cloud. Pengguna tersebut mengasumsikan peran tertentu dan mendapatkan kredensial identitas sementara peran tersebut, yaitu token STS. Pengguna kemudian menggunakan token STS untuk mengakses sumber daya Alibaba Cloud secara aman. Untuk informasi lebih lanjut, lihat Ikhtisar SSO peran berbasis OIDC.
File metadata	File metadata disediakan oleh IdP perusahaan. Biasanya dalam format XML dan berisi informasi seperti titik akhir layanan logon IdP, kunci publik untuk verifikasi tanda tangan, dan format pernyataan.
Pernyataan SAML	Elemen inti dalam protokol SAML yang menggambarkan permintaan dan respons otentikasi. Misalnya, properti spesifik pengguna termasuk dalam pernyataan respons otentikasi.
Kepercayaan	Mekanisme kepercayaan timbal balik yang didirikan antara SP dan IdP. Biasanya diimplementasikan menggunakan kunci publik dan kunci privat. SP memperoleh metadata SAML dari IdP dengan cara yang tepercaya. Metadata tersebut berisi kunci publik yang digunakan untuk memverifikasi tanda tangan pernyataan SAML yang dikeluarkan oleh IdP. SP menggunakan kunci publik ini untuk memverifikasi integritas pernyataan tersebut.

Konsep kontrol akses

Konsep	Deskripsi
Izin	Izin menentukan apakah seorang pengguna diizinkan untuk melakukan operasi pada suatu sumber daya. Izin bisa berupa pernyataan Allow atau Deny. Operasi dibagi menjadi dua kategori: Operasi manajemen sumber daya: Operasi ini melibatkan manajemen siklus hidup dan O&M sumber daya cloud. Biasanya dilakukan oleh pembeli sumber daya atau personel O&M dalam organisasi. Contohnya termasuk membuat, menghentikan, atau memulai ulang Instance ECS, dan membuat, memodifikasi, atau menghapus Bucket OSS. Operasi penggunaan sumber daya: Operasi ini melibatkan penggunaan fitur inti dari suatu sumber daya. Biasanya dilakukan oleh pengembang atau sistem aplikasi dalam organisasi. Contohnya termasuk operasi pengguna dalam sistem operasi Instance ECS, dan mengunggah atau mengunduh data dari Bucket OSS. Catatan Untuk produk seperti komputasi elastis dan layanan database, operasi manajemen sumber daya dapat dikelola menggunakan RAM. Operasi penggunaan sumber daya dikelola di dalam setiap instance produk. Contohnya termasuk kontrol akses untuk sistem operasi Instance ECS atau untuk database MySQL. Untuk produk penyimpanan seperti OSS dan Tablestore, baik operasi manajemen sumber daya maupun operasi penggunaan sumber daya dapat dikelola menggunakan RAM.
Kebijakan akses	Kebijakan akses adalah serangkaian izin yang dijelaskan menggunakan sintaksis tertentu. Ini dapat secara tepat mendefinisikan set sumber daya yang diotorisasi, set aksi, dan kondisi. Kebijakan akses adalah spesifikasi bahasa sederhana untuk menggambarkan serangkaian izin. Untuk informasi lebih lanjut tentang spesifikasi bahasa yang didukung oleh RAM, lihat Struktur dan sintaksis kebijakan. Dalam RAM, kebijakan akses adalah entitas sumber daya. RAM mendukung dua jenis kebijakan akses berikut: System Policies yang dikelola oleh Alibaba Cloud: Kebijakan ini dibuat dan dikelola oleh Alibaba Cloud. Anda dapat menggunakan kebijakan ini, tetapi tidak dapat memodifikasinya. Custom Policies yang dikelola pelanggan: Anda dapat membuat, memperbarui, dan menghapus kebijakan ini. Anda bertanggung jawab untuk memelihara versi kebijakan. Dengan menempelkan kebijakan akses ke Pengguna RAM, kelompok pengguna, atau Peran RAM, Anda dapat memberikan mereka izin akses yang ditentukan dalam kebijakan tersebut. Untuk informasi lebih lanjut, lihat Berikan izin kepada Pengguna RAM, Berikan izin kepada kelompok Pengguna RAM, dan Berikan izin kepada Peran RAM.
Pihak yang berwenang	Entitas yang diberikan izin yang ditentukan dalam suatu kebijakan. Pihak yang berwenang bisa menjadi Pengguna RAM, kelompok pengguna, atau Peran RAM.
Efek	Salah satu elemen dasar dari kebijakan akses. Ini menentukan efek dari otorisasi. Nilai valid: Allow dan Deny.
Aksi	Salah satu elemen dasar dari kebijakan akses. Ini menentukan operasi pada sumber daya tertentu. Nilainya adalah nama operasi API yang ditentukan oleh layanan Alibaba Cloud.
Kondisi	Salah satu elemen dasar dari kebijakan akses. Ini menentukan kondisi di mana otorisasi berlaku.
Sumber daya	Sumber daya adalah representasi abstrak dari entitas objek yang disajikan oleh layanan Alibaba Cloud untuk interaksi pengguna, seperti Bucket OSS atau Instance ECS.
ARN (Alibaba Cloud Resource Name)	ARN adalah Nama Sumber Daya Alibaba Cloud, nama unik global yang ditentukan oleh Alibaba Cloud untuk setiap sumber daya. Dalam otorisasi RAM, format ARN adalah `acs:<ram-code>:<region>:<account-id>:<relative-id>`. Bidang-bidang tersebut dijelaskan sebagai berikut: `acs`: singkatan dari Alibaba Cloud Service. Ini menunjukkan platform cloud publik Alibaba Cloud. `ram-code`: Kode RAM untuk layanan Alibaba Cloud. Untuk informasi lebih lanjut, lihat kolom RAM Code di Layanan Alibaba Cloud yang mendukung RAM. `region`: Informasi wilayah. Parameter ini diatur ke tanda bintang () untuk sumber daya global. Sumber daya global dapat diakses tanpa perlu menentukan wilayah. Untuk informasi lebih lanjut, lihat Wilayah dan Zona. `account-id`: ID Akun Alibaba Cloud. Contoh: `123456789012***`. `relative-id`: deskripsi sumber daya spesifik untuk layanan Alibaba Cloud. Semantiknya ditentukan oleh layanan. Bagian ini mendukung struktur pohon mirip jalur file. Sebagai contoh, dalam OSS, format untuk merepresentasikan objek OSS adalah `relative-id = "mybucket/dir1/object1.jpg"`.