Resource Access Management：Gunakan RAM untuk memastikan keamanan sumber daya Alibaba Cloud perusahaan Anda

Hindari menggunakan pengguna root akun Alibaba Cloud

Setelah mendaftar dengan Alibaba Cloud, akun Alibaba Cloud dibuat untuk Anda. Jika Anda mendaftar sebagai pengembang individu, Anda dapat menambahkan informasi verifikasi nama asli pribadi. Jika Anda mendaftar sebagai perusahaan, Anda dapat menambahkan informasi verifikasi nama asli, akun penagihan, kontrak, dan faktur perusahaan.

Secara default, akun Alibaba Cloud memiliki pengguna root. Pengguna root menggunakan nama pengguna dan kata sandi akun Alibaba Cloud untuk masuk ke Konsol Manajemen Alibaba Cloud. Penggunaan pengguna root dapat menyebabkan risiko berikut:

• Risiko tinggi karena izin penuh: Secara default, pengguna root memiliki izin penuh dari akun Alibaba Cloud. Jika nama pengguna dan kata sandi akun bocor, risikonya sangat tinggi.

• Kemungkinan besar kebocoran kata sandi: Jika beberapa karyawan dapat menggunakan pengguna root, mereka semua mengetahui nama pengguna dan kata sandi akun Alibaba Cloud, meningkatkan kemungkinan kebocoran.

• Pelacakan sulit: Jika beberapa karyawan dapat menggunakan pengguna root, operator sebenarnya tidak dapat diidentifikasi dalam log operasi, sehingga pelacakan menjadi mustahil.

Jika Anda membuat pasangan AccessKey untuk pengguna root, risiko berikut dapat terjadi:

• Risiko tinggi karena izin penuh: Pasangan AccessKey pengguna root memiliki izin penuh dari akun Alibaba Cloud. Jika pasangan AccessKey bocor, risikonya sangat tinggi.

• Dampak negatif serius dari kebocoran pasangan AccessKey: Pasangan AccessKey adalah kredensial permanen. Jika digunakan untuk beban kerja online dan bocor, menonaktifkannya akan memengaruhi beban kerja tersebut. Namun, jika tidak dinonaktifkan, risiko tetap ada karena izinnya tidak dapat dibatasi.

Untuk memastikan keamanan akun Alibaba Cloud, kami sarankan Anda mengikuti petunjuk berikut:

• Pastikan bahwa nama pengguna dan kata sandi akun Alibaba Cloud disimpan oleh administrator dan tidak dibagikan di antara beberapa karyawan.

• Ikat sebuah Kunci Keamanan Universal 2nd Factor (U2F) ke pengguna root akun Alibaba Cloud untuk menambahkan lapisan perlindungan ekstra selain nama pengguna dan kata sandi akun Alibaba Cloud.

• Gunakan nama pengguna dan kata sandi akun Alibaba Cloud untuk masuk ke Konsol Manajemen Alibaba Cloud hanya jika diperlukan.

• Hindari menggunakan pasangan AccessKey akun Alibaba Cloud.

Gunakan identitas RAM untuk mengakses Alibaba Cloud

Jika karyawan dan program perusahaan Anda perlu mengakses sumber daya Alibaba Cloud, Anda harus menetapkan identitas RAM kepada mereka. Anda dapat membuat pengguna RAM untuk karyawan dan program, lalu melampirkan kebijakan yang berbeda ke pengguna RAM tersebut. Ini memastikan kontrol akses yang mendetail dan menghilangkan kebutuhan untuk menggunakan akun Alibaba Cloud Anda untuk operasi rutin. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

• Akses dari Karyawan: Single sign-on (SSO) direkomendasikan. Jika SSO tidak tersedia, Anda harus mengikat perangkat MFA saat mengaktifkan masuk berbasis kata sandi ke konsol. Kami sarankan agar pengguna RAM tidak dibagikan di antara beberapa karyawan. Jika pengguna RAM dibagikan, risiko kebocoran kata sandi meningkat, operator sebenarnya tidak dapat diidentifikasi dalam audit, dan manajemen internal menjadi lebih sulit.

• Akses dari Program: Token Layanan Keamanan (STS) adalah kredensial sementara. Token STS direkomendasikan untuk program yang diterapkan di Alibaba Cloud untuk mengurangi risiko kebocoran kredensial. Untuk informasi lebih lanjut, lihat Praktik Terbaik untuk Menggunakan Kredensial Akses untuk Memanggil Operasi API. Jika program tidak diterapkan di Alibaba Cloud atau pasangan AccessKey diperlukan untuk skenario seperti pengembangan dan debugging, Anda dapat membuat pasangan AccessKey untuk pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pasangan AccessKey untuk Pengguna RAM. Anda dapat membuat hingga dua pasangan AccessKey untuk setiap pengguna RAM. Satu pasangan AccessKey digunakan untuk bisnis, dan yang lainnya untuk rotasi. Untuk informasi lebih lanjut, lihat Putar Pasangan AccessKey Pengguna RAM.

Gunakan SSO

SSO direkomendasikan untuk akses dari karyawan. Setelah SSO diaktifkan, semua akun internal perusahaan Anda diautentikasi. Kemudian, pengguna RAM dapat masuk ke Alibaba Cloud dan mengakses sumber daya menggunakan akun internal. Autentikasi SSO dilakukan oleh sistem identitas perusahaan Anda, sehingga Anda tidak perlu menyetel kata sandi untuk pengguna RAM di Alibaba Cloud. Ini mengurangi risiko kebocoran kata sandi. Untuk informasi lebih lanjut, lihat Ikhtisar SSO.

Konfigurasikan kebijakan kata sandi untuk pengguna RAM

Jika SSO tidak tersedia, Anda harus membuat pengguna RAM untuk karyawan. Dengan cara ini, karyawan dapat masuk ke konsol menggunakan kata sandi. Anda dapat mengonfigurasi kebijakan kata sandi di konsol RAM. Dalam kebijakan tersebut, Anda dapat menentukan panjang kata sandi, jenis karakter yang diperlukan, dan masa berlaku. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Kata Sandi untuk Pengguna RAM. Jika Anda memberi otorisasi kepada pengguna RAM untuk mengubah kata sandi logon, pengguna RAM harus membuat kata sandi logon yang kuat dan mengubahnya secara berkala.

Aktifkan MFA untuk pengguna RAM

Anda dapat mengaktifkan MFA untuk pengguna RAM untuk meningkatkan keamanan akun. Ini menambahkan lapisan perlindungan ekstra selain nama pengguna dan kata sandi.

Setelah mengaktifkan MFA dan mengikat perangkat MFA ke pengguna RAM, pengguna RAM harus melakukan langkah-langkah berikut saat masuk ke Konsol Manajemen Alibaba Cloud atau melakukan operasi sensitif di konsol:

1. Masukkan nama pengguna dan kata sandi pengguna RAM.

2. Masukkan kode verifikasi yang dihasilkan oleh perangkat MFA virtual atau yang dikirim ke alamat email. Sebagai alternatif, gunakan passkey untuk melewati autentikasi.

Mulai 17 Maret 2025, MFA logon diaktifkan secara default untuk semua pengguna RAM. Kami sarankan Anda tidak mengubah konfigurasi default untuk mengurangi risiko kebocoran kata sandi. Jika Anda tidak ingin semua pengguna RAM melakukan MFA setiap kali masuk ke konsol, kami sarankan Anda menyetel parameter MFA untuk masuk pengguna RAM ke Hanya saat masuk abnormal. Dalam hal ini, semua pengguna RAM harus mengikat perangkat MFA, tetapi MFA hanya diperlukan ketika Alibaba Cloud mendeteksi pengecualian. Ini mengurangi frekuensi autentikasi logon. Untuk informasi lebih lanjut, lihat Ikat Perangkat MFA ke Pengguna RAM.

Gunakan passkey untuk logon

Passkey adalah metode autentikasi aman yang dapat digunakan sebagai pengganti kata sandi. Pengguna RAM dapat menggunakan passkey untuk logon dan MFA. Untuk informasi lebih lanjut, lihat Apa Itu Passkey? Passkey memungkinkan Anda menggunakan metode autentikasi bawaan di laptop, ponsel, atau perangkat lain untuk logon atau MFA. Metode autentikasi bawaan termasuk pengenalan sidik jari, pengenalan wajah, dan kode PIN. Untuk informasi lebih lanjut, lihat Ikat Passkey ke Pengguna RAM.

• Jika Anda menggunakan passkey untuk langsung masuk ke konsol sebagai pengguna RAM, MFA tidak diperlukan.

• Kami sarankan Anda mengikat perangkat MFA ke pengguna RAM. Dengan cara ini, Anda dapat menggunakan kata sandi dan perangkat MFA untuk masuk ke konsol saat passkey tidak tersedia.

Kelompokkan pengguna RAM

Jika akun Alibaba Cloud Anda memiliki banyak pengguna RAM, Anda dapat mengelompokkan pengguna RAM berdasarkan tanggung jawab mereka dan memberikan izin kepada kelompok tersebut. Untuk informasi lebih lanjut, lihat Ikhtisar Grup Pengguna RAM, Buat Grup Pengguna RAM, dan Berikan Izin kepada Grup Pengguna RAM.

Batasi alamat IP sumber yang digunakan untuk masuk konsol

Anda dapat mengonfigurasi kebijakan kontrol akses jaringan untuk mengizinkan hanya alamat IP atau blok CIDR tertentu untuk masuk ke Konsol Manajemen Alibaba Cloud. Dengan cara ini, hanya akses yang dimulai dari lingkungan jaringan tepercaya yang diizinkan. Untuk informasi lebih lanjut, lihat Pengaturan untuk Kontrol Akses Jaringan.

Gunakan kredensial sementara untuk akses dari program

Setiap pasangan AccessKey terdiri dari ID AccessKey dan rahasia AccessKey. Pasangan AccessKey adalah kredensial akses permanen yang disediakan Alibaba Cloud untuk akun Alibaba Cloud dan pengguna RAM. Penggunaan yang tidak tepat dari pasangan AccessKey menyebabkan risiko. Misalnya, jika pengembang program menulis pasangan AccessKey dalam kode teks biasa dan mengunggah kode tersebut ke repositori publik seperti GitHub, pasangan AccessKey bocor dan terjadi kerugian bisnis.

Kami sarankan Anda mengasumsikan Peran RAM untuk mendapatkan token STS sementara alih-alih menggunakan pasangan AccessKey permanen. Setelah token STS dihasilkan, ia secara otomatis menjadi tidak valid setelah durasi sesi maksimum Peran RAM berakhir. Ini secara signifikan mengurangi risiko kebocoran kredensial akses.

Token STS alih-alih pasangan AccessKey direkomendasikan untuk program yang diterapkan di Alibaba Cloud. Untuk informasi lebih lanjut, lihat Praktik Terbaik untuk Menggunakan Kredensial Akses untuk Memanggil Operasi API.

Hindari pasangan AccessKey teks biasa yang di-hardcode

Jika pengembang program menulis pasangan AccessKey dalam kode teks biasa dan mengunggah kode tersebut ke repositori kode seperti GitHub, atau berbagi kode tersebut, pasangan AccessKey bocor.

Jika pasangan AccessKey diperlukan, Anda dapat menggunakan alat Kredensial Alibaba Cloud atau Key Management Service (KMS), atau mengonfigurasi variabel lingkungan sistem untuk mengelola pasangan AccessKey. Untuk informasi lebih lanjut, lihat Kelola dan Gunakan Rahasia RAM. Jika pasangan AccessKey bocor, Anda harus menggunakan pasangan AccessKey baru untuk menggantikan pasangan AccessKey yang bocor secepat mungkin. Untuk informasi lebih lanjut, lihat Praktik Terbaik untuk Menggunakan Kredensial Akses untuk Memanggil Operasi API.

Hapus pengguna RAM dan pasangan AccessKey yang tidak lagi diperlukan

Jika Anda tidak menghapus pengguna RAM dan pasangan AccessKey karyawan yang telah mengundurkan diri dan mitra sebelumnya, mereka masih dapat mengakses sumber daya cloud perusahaan, dan pencurian kredensial mungkin terjadi. Jika pengguna RAM dan pasangan AccessKey tidak digunakan untuk waktu yang lama dan tidak dikelola, pencurian tidak dapat dideteksi secara tepat waktu.

Mulai September 2024, Alibaba Cloud secara bertahap menerapkan penonaktifan otomatis pengguna RAM dan pasangan AccessKey yang tidak aktif. Fitur penonaktifan otomatis menonaktifkan pasangan AccessKey yang memenuhi syarat setiap hari. Pengguna RAM dianggap tidak aktif jika tidak masuk ke konsol dalam dua tahun terakhir. Pasangan AccessKey dianggap tidak aktif jika tidak digunakan dalam dua tahun terakhir.

Batasi alamat IP sumber yang digunakan untuk panggilan API berbasis pasangan AccessKey

Anda dapat mengonfigurasi kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan untuk mengizinkan hanya alamat IP tertentu memanggil operasi API Alibaba Cloud menggunakan pasangan AccessKey. Dengan cara ini, operasi API dipanggil menggunakan pasangan AccessKey dalam lingkungan jaringan tepercaya. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Berbasis Pasangan AccessKey untuk Kontrol Akses Jaringan.

• Jika pasangan AccessKey bocor atau mungkin bocor, konfigurasikan kebijakan kontrol akses jaringan untuk pasangan AccessKey untuk mengizinkan panggilan API hanya dalam lingkungan jaringan tepercaya dan memblokir panggilan eksternal yang mencurigakan.

• Periksa kondisi jaringan setiap akun dan konfigurasikan kebijakan kontrol akses jaringan berbasis akun atau berbasis pasangan AccessKey untuk mencegah panggilan eksternal yang mencurigakan.