All Products
Search

This Product

    Resource Access Management:Mengakses sumber daya lintas akun Alibaba Cloud

    Document Center

    Resource Access Management:Mengakses sumber daya lintas akun Alibaba Cloud

    Last Updated:Jun 21, 2026

    Untuk memberikan otorisasi kepada perusahaan lain agar mengelola operasi bisnis Anda, gunakan RAM role untuk memberikan akses lintas akun ke sumber daya Anda.

    Skenario

    Perusahaan A menggunakan berbagai sumber daya Alibaba Cloud untuk bisnisnya, seperti Instance ECS, Instance ApsaraDB RDS, Instance SLB, dan Bucket OSS. Perusahaan A ingin:

    • Mendelegasikan tanggung jawab pengoperasian dan pengelolaan sumber dayanya kepada Perusahaan B.

    • Menghilangkan kebutuhan bagi Perusahaan A untuk mengelola izin setiap kali karyawan Perusahaan B bergabung atau keluar. Perusahaan B dapat secara mandiri memberikan akses detail halus kepada karyawan dan aplikasinya sendiri terhadap sumber daya Perusahaan A.

    • Mencabut otorisasi untuk Perusahaan B kapan saja jika kontrak dihentikan.

    Solusi

    Asumsikan Perusahaan A memiliki akun Alibaba Cloud (Akun A, A@company-a.onaliyun.com) dan Perusahaan B memiliki akun Alibaba Cloud (Akun B, B@company-b.onaliyun.com). Anda dapat menggunakan RAM role untuk mengizinkan Akun B mengakses sumber daya di Akun A.

    • Di Akun A, buat RAM role yang menetapkan semua identitas RAM di Akun B sebagai entitas tepercaya, lalu berikan RAM role tersebut izin yang sesuai, seperti izin untuk mengelola Instance ECS. Di Akun B, buat RAM user dan berikan RAM user tersebut izin untuk mengakses sumber daya di Akun A dengan mengasumsikan role tersebut. Akun A hanya perlu menentukan entitas tepercaya dan izin untuk RAM role, sedangkan Akun B mengelola RAM user mana saja yang dapat mengasumsikan role tersebut.

      Untuk informasi selengkapnya, lihat Memberikan izin lintas akun Alibaba Cloud.

    • Jika kemitraan antara Perusahaan A dan Perusahaan B berakhir, Akun A hanya perlu mencabut izin Akun B untuk mengasumsikan RAM role tersebut. Setelah pencabutan, tidak ada RAM user di Akun B yang dapat mengasumsikan role tersebut untuk mengakses sumber daya di Akun A.

      Untuk informasi selengkapnya, lihat Mencabut izin lintas akun Alibaba Cloud.

    Memberikan izin lintas akun Alibaba Cloud

    1. Di Akun A, buat RAM role yang menetapkan Akun B sebagai entitas tepercaya.

      1. Masuk ke RAM console menggunakan Akun A.

      2. Di halaman Roles, buat RAM role.

        Untuk Principal Type, pilih Cloud Account. Untuk Principal Name, pilih Other Account dan masukkan ID Account B. Untuk informasi selengkapnya, lihat Membuat RAM role untuk akun Alibaba Cloud tepercaya dan Mengubah informasi dasar akun.

    2. Dari Akun A, berikan izin kepada RAM role tersebut.

      Di halaman Roles atau halaman Grants, sambungkan kebijakan sistem atau kebijakan kustom ke RAM role tersebut. Anda harus mengikuti prinsip hak istimewa minimal dan hanya memberikan izin yang diperlukan. Misalnya, jika Anda ingin RAM role tersebut mengelola Instance ECS, Anda dapat menyambungkan kebijakan sistem AliyunECSFullAccess. Untuk informasi selengkapnya, lihat Mengelola izin untuk RAM role.

    3. Di Akun B, buat RAM user.

      1. Masuk ke RAM console menggunakan Akun B.

      2. Di halaman Users, buat RAM user.

        Untuk informasi selengkapnya, lihat Membuat RAM user.

    4. Di Akun B, berikan RAM user izin untuk mengasumsikan role tersebut.

      Di halaman Users atau halaman Grants, sambungkan kebijakan sistem AliyunSTSAssumeRoleAccess ke RAM user tersebut. Untuk informasi selengkapnya, lihat Mengelola izin RAM user.

    5. RAM user di Akun B dapat mengakses sumber daya yang telah diotorisasi di Akun A dengan mengasumsikan role tersebut.

      Anda dapat mengasumsikan role tersebut dengan salah satu cara berikut:

    Mencabut izin lintas akun Alibaba Cloud

    Akun A dapat mencabut izin Akun B untuk mengasumsikan RAM role tersebut. Pilih salah satu metode berikut:

    • Ubah kebijakan kepercayaan RAM role tersebut

      1. Masuk ke RAM console menggunakan Akun A.

      2. Di halaman Roles, ubah kebijakan kepercayaan role tersebut.

        Ubah bidang Principal untuk mencabut kepercayaan terhadap Akun B. Untuk informasi selengkapnya, lihat Mengubah kebijakan kepercayaan RAM role.

        Kebijakan kepercayaan dalam format JSON. Array RAM di bawah Principal berisi Nama Sumber Daya Alibaba Cloud (ARN) dari principal tepercaya dalam format acs:ram::<AccountUID>:root. Untuk mencabut kepercayaan, temukan dan hapus entri ARN yang sesuai dengan Akun B.

    • Hapus RAM role tersebut

      1. Masuk ke RAM console menggunakan Akun A.

      2. Di halaman Roles, hapus RAM role tersebut.

        Saat Anda menghapus RAM role, izin yang disambungkan ke role tersebut juga akan dihapus. Untuk informasi selengkapnya, lihat Menghapus RAM role.