Setelah memigrasikan beban kerja ke cloud, Anda dapat menggunakan Resource Access Management (RAM) untuk mengelola identitas pengguna dan izin akses sumber daya secara detail halus. RAM memungkinkan Anda membuat dan mengelola Pengguna RAM untuk entitas seperti karyawan, sistem, dan program, serta mengontrol akses mereka ke sumber daya Alibaba Cloud melalui pengelolaan izin. Topik ini menjelaskan praktik terbaik dalam menggunakan RAM guna memastikan keamanan sumber daya Alibaba Cloud perusahaan Anda.
Manajemen identitas
Prinsip umum
Hindari penggunaan root user dari Akun Alibaba Cloud
Setelah mendaftar ke Alibaba Cloud, sebuah Akun Alibaba Cloud dibuat untuk Anda. Jika Anda mendaftar sebagai developer individu, Anda dapat menambahkan informasi verifikasi nama asli pribadi. Jika Anda mendaftar sebagai perusahaan, Anda dapat menambahkan informasi verifikasi nama asli, akun penagihan, informasi kontrak, dan informasi faktur perusahaan.
Secara default, Akun Alibaba Cloud memiliki root user yang menggunakan username dan password Akun Alibaba Cloud untuk login ke Konsol Manajemen Alibaba Cloud. Penggunaan root user berisiko tinggi karena:
Hak akses penuh: Secara default, root user memiliki hak akses penuh atas Akun Alibaba Cloud. Jika username dan password bocor, risikonya sangat tinggi.
Kemungkinan kebocoran password meningkat: Jika beberapa karyawan menggunakan root user, mereka semua mengetahui username dan password Akun Alibaba Cloud, sehingga risiko kebocoran password menjadi lebih besar.
Pelacakan sulit dilakukan: Jika beberapa karyawan menggunakan root user, operator sebenarnya tidak dapat diidentifikasi dalam log operasi, sehingga pelacakan menjadi tidak mungkin.
Jika Anda membuat Pasangan Kunci Akses (AccessKey pair) untuk root user, risiko berikut dapat terjadi:
Hak akses penuh: Pasangan Kunci Akses root user memiliki hak akses penuh atas Akun Alibaba Cloud. Jika bocor, risikonya sangat tinggi.
Dampak serius akibat kebocoran: Pasangan Kunci Akses merupakan kredensial permanen. Jika digunakan untuk beban kerja online dan bocor, menonaktifkannya akan memengaruhi beban kerja tersebut. Namun, jika tidak dinonaktifkan, risiko tetap ada karena izinnya tidak dapat dibatasi.
Untuk memastikan keamanan Akun Alibaba Cloud, kami merekomendasikan langkah-langkah berikut:
Simpan username dan password Akun Alibaba Cloud hanya oleh administrator dan jangan bagikan kepada banyak karyawan.
Bind kunci keamanan Universal 2nd Factor (U2F) ke root user Akun Alibaba Cloud untuk menambahkan lapisan perlindungan ekstra selain username dan password.
Gunakan username dan password Akun Alibaba Cloud untuk login ke Konsol Manajemen Alibaba Cloud hanya saat diperlukan.
Hindari penggunaan Pasangan Kunci Akses Akun Alibaba Cloud.
Gunakan identitas RAM untuk mengakses Alibaba Cloud
Jika karyawan dan program perusahaan Anda perlu mengakses sumber daya Alibaba Cloud, tetapkan identitas RAM kepada mereka. Buat Pengguna RAM untuk karyawan dan program tersebut, lalu sambungkan kebijakan yang sesuai. Pendekatan ini memungkinkan kontrol akses detail halus dan menghilangkan kebutuhan menggunakan Akun Alibaba Cloud dalam operasi dan pemeliharaan rutin. Untuk informasi lebih lanjut, lihat Buat pengguna RAM.
Akses dari karyawan: Single sign-on (SSO) direkomendasikan. Jika SSO tidak tersedia, bind perangkat MFA saat mengaktifkan login berbasis password ke console. Kami menyarankan agar satu Pengguna RAM tidak digunakan bersama oleh banyak karyawan. Penggunaan bersama meningkatkan risiko kebocoran password, menyulitkan identifikasi operator dalam audit, dan mempersulit manajemen internal.
Akses dari program: Token Security Token Service (STS) adalah kredensial temporary dan direkomendasikan untuk program yang dideploy di Alibaba Cloud guna mengurangi risiko kebocoran kredensial. Untuk informasi lebih lanjut, lihat Praktik terbaik penggunaan kredensial akses untuk memanggil operasi API. Jika program tidak dideploy di Alibaba Cloud atau Pasangan Kunci Akses diperlukan untuk skenario seperti pengembangan dan debugging, buat Pasangan Kunci Akses untuk Pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pasangan Kunci Akses untuk pengguna RAM. Setiap Pengguna RAM dapat memiliki hingga dua Pasangan Kunci Akses—satu untuk bisnis dan satu lagi untuk rotasi. Untuk informasi lebih lanjut, lihat Rotasi Pasangan Kunci Akses untuk pengguna RAM.
Manajemen karyawan
Gunakan SSO
SSO direkomendasikan untuk akses karyawan. Setelah diaktifkan, semua akun internal perusahaan diautentikasi melalui sistem identitas perusahaan Anda, sehingga Pengguna RAM dapat login ke Alibaba Cloud dan mengakses resource menggunakan akun internal tanpa perlu menyetel password di Alibaba Cloud. Hal ini mengurangi risiko kebocoran password. Untuk informasi lebih lanjut, lihat Ikhtisar SSO.
Konfigurasikan kebijakan kata sandi untuk pengguna RAM
Jika SSO tidak tersedia, buat Pengguna RAM untuk karyawan agar mereka dapat login ke console menggunakan password. Anda dapat mengonfigurasi kebijakan kata sandi di Konsol RAM untuk menentukan panjang password, jenis karakter yang diperlukan, dan periode validitas. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kata sandi untuk pengguna RAM. Jika Anda memberi otorisasi kepada Pengguna RAM untuk mengubah kata sandi login, mereka harus membuat password yang kuat dan menggantinya secara berkala.
Aktifkan MFA untuk pengguna RAM
Aktifkan MFA untuk Pengguna RAM guna meningkatkan keamanan akun dengan menambahkan lapisan perlindungan ekstra selain username dan password.
Setelah MFA diaktifkan dan perangkat MFA disambungkan, Pengguna RAM wajib menyediakan dua faktor keamanan saat login ke Alibaba Cloud atau melakukan operasi sensitif di console:
Faktor pertama: Username dan password Anda.
Faktor keamanan kedua: Masukkan kode verifikasi dari perangkat MFA virtual atau alamat email keamanan Anda, atau autentikasi dengan passkey.
Mulai 17 Maret 2025, MFA login diaktifkan secara default untuk semua Pengguna RAM. Kami menyarankan agar Anda tidak mengubah konfigurasi default ini guna mengurangi risiko kebocoran password. Jika tidak ingin semua Pengguna RAM melakukan MFA setiap kali login ke console, atur parameter MFA untuk login Pengguna RAM ke “Hanya saat login tidak normal”. Dalam kasus ini, semua Pengguna RAM harus bind perangkat MFA, tetapi MFA hanya diperlukan saat Alibaba Cloud mendeteksi anomali, sehingga frekuensi autentikasi login berkurang. Untuk informasi lebih lanjut, lihat Bind perangkat MFA ke pengguna RAM.
Gunakan passkey untuk login
Passkey adalah metode autentikasi aman yang dapat menggantikan password. Pengguna RAM dapat menggunakan passkey untuk login dan MFA. Untuk informasi lebih lanjut, lihat Apa itu passkey? Passkey memungkinkan penggunaan metode autentikasi bawaan perangkat seperti pengenalan sidik jari, pengenalan wajah, dan kode PIN untuk login atau MFA. Untuk informasi lebih lanjut, lihat Daftarkan passkey atau kunci keamanan untuk pengguna RAM.
Jika menggunakan passkey untuk login langsung ke console sebagai Pengguna RAM, MFA tidak diperlukan.
Kami merekomendasikan agar Anda bind perangkat MFA ke Pengguna RAM sehingga dapat menggunakan password dan perangkat MFA untuk login saat passkey tidak tersedia.
Grup pengguna RAM
Jika Akun Alibaba Cloud Anda memiliki banyak Pengguna RAM, kelompokkan mereka berdasarkan tanggung jawab dan berikan izin kepada grup tersebut. Untuk informasi lebih lanjut, lihat Ikhtisar grup pengguna RAM, Buat grup pengguna RAM, dan Berikan izin kepada grup pengguna RAM.
Batasi alamat IP sumber yang digunakan untuk login console
Anda dapat mengonfigurasi kebijakan kontrol akses jaringan untuk hanya mengizinkan alamat IP atau Blok CIDR tertentu melakukan login ke Konsol Manajemen Alibaba Cloud, sehingga hanya akses dari lingkungan jaringan tepercaya yang diizinkan. Untuk informasi lebih lanjut, lihat Kebijakan ACL jaringan.
Manajemen Pasangan Kunci Akses
Gunakan kredensial temporary untuk akses dari program
Setiap Pasangan Kunci Akses terdiri dari ID AccessKey dan Rahasia AccessKey. Pasangan Kunci Akses adalah kredensial akses permanen yang disediakan Alibaba Cloud untuk Akun Alibaba Cloud dan Pengguna RAM. Penggunaan yang tidak tepat menimbulkan risiko—misalnya, jika developer menulis Pasangan Kunci Akses dalam teks biasa di kode dan mengunggahnya ke repositori publik seperti GitHub, kredensial tersebut bocor dan menyebabkan kerugian bisnis.
Kami merekomendasikan agar Anda mengasumsikan peran RAM untuk mendapatkan token STS temporary daripada menggunakan Pasangan Kunci Akses permanen. Token STS secara otomatis menjadi tidak valid setelah durasi sesi maksimum peran RAM berakhir, sehingga secara signifikan mengurangi risiko kebocoran kredensial akses.
Token STS, bukan Pasangan Kunci Akses, direkomendasikan untuk program yang dideploy di Alibaba Cloud. Untuk informasi lebih lanjut, lihat Praktik terbaik penggunaan kredensial akses untuk memanggil operasi API.
Hindari hard-coded Pasangan Kunci Akses dalam teks biasa
Jika developer menulis Pasangan Kunci Akses dalam teks biasa di kode dan mengunggahnya ke repositori kode seperti GitHub atau membagikannya, kredensial tersebut bocor.
Jika Pasangan Kunci Akses diperlukan, gunakan tool Alibaba Cloud Credentials, Key Management Service (KMS), atau konfigurasikan variabel lingkungan sistem untuk mengelolanya. Untuk informasi lebih lanjut, lihat Kelola dan gunakan rahasia RAM. Jika Pasangan Kunci Akses bocor, segera ganti dengan yang baru. Untuk informasi lebih lanjut, lihat Praktik terbaik penggunaan kredensial akses untuk memanggil operasi API.
Hapus pengguna RAM dan Pasangan Kunci Akses yang tidak lagi diperlukan
Jika tidak menghapus Pengguna RAM dan Pasangan Kunci Akses milik karyawan yang telah resign atau mantan mitra, mereka masih dapat mengakses sumber daya cloud perusahaan, sehingga berpotensi terjadi pencurian kredensial. Selain itu, jika Pengguna RAM dan Pasangan Kunci Akses tidak digunakan dalam jangka waktu lama dan tidak dikelola, pencurian tidak dapat terdeteksi tepat waktu.
Mulai September 2024, Alibaba Cloud secara bertahap menerapkan penonaktifan otomatis untuk Pengguna RAM dan Pasangan Kunci Akses yang tidak aktif. Fitur ini menonaktifkan Pasangan Kunci Akses yang memenuhi syarat setiap hari. Pengguna RAM dianggap tidak aktif jika tidak login ke console dalam dua tahun terakhir, sedangkan Pasangan Kunci Akses dianggap tidak aktif jika tidak digunakan dalam dua tahun terakhir.
Batasi alamat IP sumber yang digunakan untuk panggilan API berbasis Pasangan Kunci Akses
Anda dapat mengonfigurasi kebijakan berbasis Pasangan Kunci Akses untuk kontrol akses jaringan guna hanya mengizinkan alamat IP tertentu memanggil operasi API Alibaba Cloud menggunakan Pasangan Kunci Akses, sehingga operasi API hanya dapat dilakukan dalam lingkungan jaringan tepercaya. Untuk informasi lebih lanjut, lihat Gunakan kebijakan ACL jaringan untuk membatasi penggunaan Pasangan Kunci Akses.
Jika Pasangan Kunci Akses telah atau mungkin bocor, konfigurasikan kebijakan kontrol akses jaringan untuk hanya mengizinkan panggilan API dalam lingkungan jaringan tepercaya dan memblokir panggilan eksternal yang mencurigakan.
Periksa kondisi jaringan setiap akun dan konfigurasikan kebijakan kontrol akses jaringan berbasis Pasangan Kunci Akses di tingkat akun atau tingkat Pasangan Kunci Akses untuk mencegah panggilan eksternal yang mencurigakan.
Pengelolaan izin
Berikan izin berdasarkan prinsip hak istimewa minimal
Anda dapat menyambungkan kebijakan ke identitas RAM—termasuk Pengguna RAM, Grup pengguna RAM, dan peran RAM—untuk membatasi izin akses terhadap sumber daya. Kami merekomendasikan penerapan prinsip hak istimewa minimal dengan hanya memberikan izin yang diperlukan guna menghindari risiko keamanan akibat izin berlebihan.
Kebijakan diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Kebijakan sistem dibuat dan diperbarui oleh Alibaba Cloud; Anda dapat menggunakannya tetapi tidak dapat mengubahnya. Kebijakan kustom dibuat dan diperbarui oleh pengguna, sehingga Anda dapat membuat, mengubah, menghapus, dan meng-upgrade kebijakan kustom sesuai kebutuhan bisnis. Untuk informasi lebih lanjut, lihat Ikhtisar kebijakan. Anda dapat menggunakan kebijakan kustom untuk menerapkan pengelolaan izin detail halus. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
Tentukan elemen kondisi dalam kebijakan untuk meningkatkan keamanan
Anda dapat menentukan elemen kondisi dalam kebijakan kustom untuk membatasi akses ke sumber daya—misalnya, dengan menetapkan periode waktu dan alamat IP yang diizinkan. Untuk informasi lebih lanjut, lihat Kondisi,
Kontrol akses ke sumber daya Alibaba Cloud berdasarkan alamat IP, Akses Alibaba Cloud dalam periode waktu tertentu, dan Akses Alibaba Cloud menggunakan metode tertentu.