Topik ini memperkenalkan konsep dasar yang digunakan dalam Resource Access Management (RAM).
Istilah untuk manajemen identitas
Istilah | Deskripsi |
Akun Alibaba Cloud | Sebelum menggunakan layanan Alibaba Cloud, Anda harus membuat Akun Alibaba Cloud. Akun Alibaba Cloud merupakan pemilik sumber daya Alibaba Cloud. Semua sumber daya yang dimiliki akan dikenai biaya kepada Akun Alibaba Cloud tersebut. Akun Alibaba Cloud memiliki kontrol penuh atas sumber daya tersebut. Secara default, hanya Akun Alibaba Cloud yang dapat mengakses sumber daya Alibaba Cloud. Pengguna lain hanya dapat mengakses sumber daya setelah secara eksplisit diberi otorisasi oleh Akun Alibaba Cloud. Akun Alibaba Cloud mirip dengan pengguna administrator atau root pada sistem operasi. Untuk menjamin keamanan Akun Alibaba Cloud, kami menyarankan agar Anda tidak menggunakan Akun Alibaba Cloud untuk login ke Konsol Manajemen Alibaba Cloud dan tidak membuat Pasangan Kunci Akses untuk akun tersebut. Sebaiknya buat RAM user untuk Akun Alibaba Cloud dan berikan hak administratif kepada RAM user tersebut. Dengan demikian, Anda dapat menggunakan RAM user untuk mengelola sumber daya. |
account administrator | Account administrator memiliki izin untuk mengelola semua sumber daya akun. Account administrator dapat berupa Akun Alibaba Cloud atau RAM user yang dilengkapi kebijakan AdministratorAccess. Kami menyarankan agar Anda menggunakan RAM user sebagai account administrator. Untuk informasi lebih lanjut, lihat Buat RAM user sebagai account administrator. |
RAM administrator | RAM administrator memiliki izin untuk mengelola sumber daya RAM miliknya. RAM administrator dapat berupa Akun Alibaba Cloud atau RAM user yang dilengkapi kebijakan AliyunRAMFullAccess. Kami menyarankan agar Anda menggunakan RAM user sebagai RAM administrator. |
identity | RAM menyediakan tiga jenis identitas: RAM user, RAM user group, dan RAM role. RAM user dan RAM user group merupakan identitas fisik. RAM role merupakan identitas virtual. |
default domain name | Identifikasi unik dari suatu Akun Alibaba Cloud. Alibaba Cloud memberikan default domain name kepada setiap Akun Alibaba Cloud. Format default domain name adalah Untuk informasi lebih lanjut, lihat Akhiran login RAM user. |
account alias | Alias dari suatu Akun Alibaba Cloud. Account alias juga disebut enterprise alias. Nilai default account alias adalah Jika suatu perusahaan menetapkan alias Akun Alibaba Cloud-nya menjadi company1, maka RAM user alice yang termasuk dalam Akun Alibaba Cloud tersebut dapat menggunakan alice@company1 untuk login ke Konsol Manajemen Alibaba Cloud. Untuk informasi lebih lanjut, lihat Akhiran login RAM user. |
domain alias | Nama domain kustom yang dapat Anda gunakan untuk menggantikan default domain name. Nama domain kustom harus dapat di-resolve secara publik. Domain alias merupakan alias dari default domain name. Catatan Domain kustom hanya dapat digunakan sebagai domain alias setelah kepemilikannya diverifikasi. Setelah verifikasi selesai, Anda dapat menggunakan domain alias untuk menggantikan default domain name di semua skenario yang memerlukan default domain name. Untuk informasi lebih lanjut, lihat Buat dan verifikasi domain alias. |
RAM user | Identitas fisik yang memiliki ID tetap dan informasi kredensial. RAM user merepresentasikan seseorang atau aplikasi. RAM user memiliki karakteristik berikut:
Untuk informasi lebih lanjut, lihat Buat RAM user. |
password | Kredensial identitas yang digunakan untuk login ke Konsol Manajemen Alibaba Cloud. Catatan Anda tidak dapat melihat kembali kata sandi logon. Kami menyarankan agar Anda mengganti kata sandi secara berkala dan menjaga kerahasiaannya. Untuk informasi lebih lanjut, lihat Ubah kata sandi login RAM user. |
AccessKey pair | AccessKey pair adalah kredensial keamanan jangka panjang untuk membuat permintaan programatis ke Alibaba Cloud. AccessKey pair terdiri dari ID AccessKey dan Rahasia AccessKey.
Resource Access Management (RAM) menghasilkan ID AccessKey dan Rahasia AccessKey menggunakan algoritma tertentu. Alibaba Cloud mengenkripsi keduanya selama penyimpanan maupun transmisi. Untuk informasi lebih lanjut, lihat Buat AccessKey pair. |
MFA | Peningkatan keamanan yang menambahkan lapisan perlindungan tambahan selain username dan password Anda. Autentikasi Multi-Faktor (MFA) meningkatkan keamanan akun Anda. Jika MFA diaktifkan untuk RAM user, RAM user tersebut harus melakukan langkah-langkah berikut saat login ke Konsol Manajemen Alibaba Cloud:
Untuk informasi lebih lanjut, lihat Ikatan perangkat MFA. |
RAM user group | Identitas fisik yang berisi sekelompok RAM user. Anda dapat membuat RAM user group untuk mengklasifikasikan dan memberikan otorisasi kepada RAM user. Hal ini menyederhanakan pengelolaan RAM user dan izin.
|
RAM role | Identitas virtual yang dapat dilengkapi kebijakan. RAM role tidak memiliki kredensial identitas permanen, seperti kata sandi logon atau AccessKey pair. RAM role hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah RAM role diasumsikan oleh entitas tepercaya, entitas tersebut dapat memperoleh token Layanan Keamanan (STS) dan menggunakan token STS tersebut untuk mengakses sumber daya Alibaba Cloud sebagai RAM role tersebut. RAM role diklasifikasikan menjadi beberapa jenis berdasarkan entitas tepercayanya:
|
SP | Aplikasi yang menggunakan fitur manajemen identitas dari IdP untuk menyediakan layanan tertentu kepada pengguna. Penyedia layanan (SP) menggunakan informasi pengguna yang disediakan oleh IdP. Dalam beberapa sistem identitas, seperti OpenID Connect (OIDC) yang tidak sesuai dengan protokol SAML, SP dikenal sebagai pihak yang bergantung dari IdP. |
IdP | Entitas RAM yang menyediakan layanan manajemen identitas. IdP diklasifikasikan menjadi beberapa jenis:
|
SAML 2.0 | Protokol yang dirancang untuk otentikasi identitas pengguna tingkat perusahaan. Security Assertion Markup Language 2.0 (SAML 2.0) digunakan untuk komunikasi antara SP dan IdP. SAML 2.0 merupakan standar yang digunakan perusahaan untuk menerapkan Single Sign-On (SSO). |
SSO | Alibaba Cloud mendukung SSO berbasis SAML 2.0 dan OIDC. Fitur ini juga dikenal sebagai federasi identitas. Alibaba Cloud menyediakan metode SSO berikut:
|
metadata file | File metadata yang disediakan oleh IdP Anda. File metadata umumnya dalam format XML. File metadata berisi URL login, kunci publik yang digunakan untuk memverifikasi pernyataan SAML, dan format pernyataan. |
SAML assertion | Elemen inti yang didefinisikan dalam protokol SAML. Elemen ini menggambarkan permintaan dan respons otentikasi. Misalnya, pernyataan SAML untuk respons otentikasi dapat berisi atribut pengguna. |
trust | Hubungan kepercayaan timbal balik antara SP dan IdP. Umumnya, hubungan kepercayaan ini dibangun menggunakan kunci publik dan privat. SP dapat memperoleh metadata SAML dari IdP tepercaya. Metadata tersebut mencakup kunci publik. SP menggunakan kunci publik tersebut untuk memverifikasi integritas pernyataan SAML yang dikeluarkan oleh IdP. |
Istilah untuk kontrol akses
Istilah | Deskripsi |
permission | Menunjukkan apakah pengguna diizinkan untuk melakukan operasi tertentu pada sumber daya Alibaba Cloud tertentu. Izin mencakup Allow dan Deny. Operasi mencakup dua jenis berikut:
|
policy | Sekumpulan izin yang dijelaskan berdasarkan struktur dan sintaks kebijakan. Anda dapat menggunakan kebijakan untuk menggambarkan himpunan sumber daya yang diotorisasi, himpunan operasi yang diotorisasi, dan kondisi otorisasi. Kebijakan merupakan spesifikasi bahasa sederhana yang menggambarkan sekumpulan izin. Untuk informasi lebih lanjut, lihat Struktur dan sintaks kebijakan. Dalam RAM, kebijakan merupakan entitas sumber daya. RAM mendukung dua jenis kebijakan berikut:
Anda dapat melampirkan satu atau beberapa kebijakan ke RAM user, RAM user group, dan RAM role. Untuk informasi lebih lanjut, lihat Berikan izin kepada RAM user, Berikan izin kepada grup, dan Kelola izin RAM role. |
principal | Subjek yang diberikan izin tertentu. Principal yang diotorisasi dapat berupa RAM user, RAM user group, atau RAM role. |
effect | Efek otorisasi. Effect merupakan elemen dasar kebijakan. Nilai yang valid adalah Allow dan Deny. |
action | Operasi yang akan dilakukan pada sumber daya Alibaba Cloud tertentu. Action merupakan elemen dasar kebijakan. Nilai yang valid adalah nama operasi dari layanan Alibaba Cloud. |
condition | Kondisi agar otorisasi berlaku. Condition merupakan elemen dasar kebijakan. |
resource | Objek yang dapat dikelola yang disediakan oleh layanan Alibaba Cloud. Misalnya, objek tersebut dapat berupa Bucket OSS dan Instance ECS. |
ARN | Nama unik global yang digunakan untuk mengidentifikasi sumber daya di Alibaba Cloud. Saat memberikan izin pada sumber daya, Anda harus menentukan Nama Sumber Daya Alibaba Cloud (ARN) dalam format
|