Topik ini menjelaskan cara perusahaan dengan beberapa sumber daya cloud dapat menggunakan Resource Access Management (RAM) untuk mengelola izin pengguna dalam mengakses sumber daya cloud tersebut.
Prasyarat
Akun Alibaba Cloud telah dibuat. Jika belum, buat akun terlebih dahulu sebelum melanjutkan. Untuk membuat akun Alibaba Cloud, klik Buat akun Alibaba Cloud.
Informasi latar belakang
Perusahaan A telah membeli berbagai sumber daya Alibaba Cloud, seperti instance Elastic Compute Service (ECS), instance ApsaraDB for RDS, instance Server Load Balancer (SLB), dan bucket Object Storage Service (OSS), untuk memigrasikan sebuah Proyek ke cloud. Beberapa karyawan perlu mengelola sumber daya cloud ini, dan setiap karyawan memerlukan izin yang berbeda sesuai dengan tugas mereka.
Perusahaan A memiliki persyaratan berikut:
Untuk menjamin keamanan, Perusahaan A tidak ingin mengungkapkan pasangan AccessKey dari akun Alibaba Cloud-nya kepada karyawan.
Perusahaan A lebih memilih membuat akun pengguna RAM yang berbeda untuk para karyawan dan memberikan izin yang sesuai. Karyawan hanya diberikan izin yang diperlukan untuk memenuhi tugas mereka.
Pengguna RAM hanya dapat mengelola sumber daya setelah diberikan izin yang sesuai. Semua operasi yang dilakukan oleh pengguna RAM dapat diaudit.
Perusahaan A dapat mencabut izin yang diberikan kepada pengguna RAM dan menghapus akun pengguna RAM kapan saja.
Biaya atas sumber daya yang ditimbulkan oleh pengguna RAM akan ditagihkan ke akun Alibaba Cloud induk.
Solusi
Aktifkan otentikasi multi-faktor (MFA) untuk akun Alibaba Cloud guna mencegah pengungkapan kata sandi akun secara tidak sengaja. Untuk informasi lebih lanjut, lihat Bind a U2F security key.
Buat akun pengguna RAM untuk karyawan atau aplikasi yang berbeda, serta tentukan kata sandi logon atau buat pasangan AccessKey sesuai kebutuhan bisnis. Untuk informasi lebih lanjut, lihat Buat pengguna RAM.
Jika beberapa karyawan memiliki tanggung jawab yang sama, disarankan untuk membuat grup pengguna RAM dan menambahkan pengguna yang sesuai ke grup tersebut. Untuk informasi lebih lanjut, lihat Buat grup pengguna RAM.
Lampirkan satu atau lebih kebijakan sistem ke pengguna RAM atau grup pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM dan Berikan izin kepada grup pengguna RAM. Untuk manajemen izin yang lebih terperinci, Anda dapat membuat satu atau lebih kebijakan kustom dan melampirkannya ke pengguna RAM atau grup pengguna RAM. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
Hapus izin dari grup pengguna RAM atau pengguna RAM ketika izin tersebut tidak lagi diperlukan. Untuk informasi lebih lanjut, lihat Cabut izin dari pengguna RAM dan Cabut izin dari grup pengguna RAM.