Kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan - Resource Access Management

Anda dapat mengonfigurasi kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan guna hanya mengizinkan alamat IP tertentu memanggil operasi API Alibaba Cloud menggunakan pasangan AccessKey permanen. Hal ini memastikan operasi API dipanggil melalui pasangan AccessKey dalam lingkungan jaringan tepercaya.

Jenis kebijakan

Resource Access Management (RAM) menyediakan jenis-jenis kebijakan berbasis pasangan AccessKey berikut untuk kontrol akses jaringan:

Kebijakan berbasis pasangan AccessKey tingkat akun untuk kontrol akses jaringan
Kebijakan ini berlaku pada semua pasangan AccessKey dalam suatu Akun Alibaba Cloud, termasuk pasangan AccessKey milik Akun Alibaba Cloud dan pasangan AccessKey milik Pengguna RAM. Jika Anda ingin menerapkan kebijakan terpadu untuk semua pasangan AccessKey dalam akun Anda, konfigurasikan kebijakan berbasis pasangan AccessKey tingkat akun untuk kontrol akses jaringan.
Kebijakan berbasis pasangan AccessKey tingkat pasangan AccessKey untuk kontrol akses jaringan
Kebijakan ini berlaku pada satu pasangan AccessKey tunggal dari Akun Alibaba Cloud atau Pengguna RAM. Jika Anda ingin mengonfigurasi kebijakan hanya untuk satu pasangan AccessKey tertentu, atau menerapkan kebijakan khusus yang berbeda dari kebijakan tingkat akun, konfigurasikan kebijakan berbasis pasangan AccessKey tingkat pasangan AccessKey untuk kontrol akses jaringan.

Kebijakan tingkat pasangan AccessKey memiliki prioritas lebih tinggi daripada kebijakan tingkat akun. Setelah kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan diaktifkan untuk suatu pasangan AccessKey, kebijakan berbasis pasangan AccessKey tingkat akun tidak berlaku pada pasangan AccessKey tersebut.

Gambar berikut menunjukkan proses evaluasi kebijakan.

Catatan penggunaan

Kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan hanya berlaku pada pasangan AccessKey permanen, bukan pada token Security Token Service.
Jika Anda ingin mengonfigurasi kontrol akses jaringan untuk login konsol, gunakan masker login. Untuk informasi selengkapnya, lihat Pengaturan kontrol akses jaringan.
Terlebih dahulu uji pasangan AccessKey di lingkungan pengujian atau buat pasangan AccessKey khusus untuk menguji kebijakan tersebut. Setelah hasil pengujian sesuai harapan, terapkan kebijakan tersebut pada pasangan AccessKey di lingkungan produksi. Langkah ini mencegah gangguan terhadap bisnis online Anda akibat konfigurasi alamat IP yang tidak lengkap.
Jika aplikasi yang diterapkan di Alibaba Cloud memanggil layanan cloud lain melalui Internet, konfigurasikan kebijakan kontrol akses jaringan publik untuk pasangan AccessKey tersebut. Jika aplikasi memanggil layanan cloud lain melalui jaringan pribadi, konfigurasikan kebijakan kontrol akses VPC.

Batasan

Kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan berlaku pada semua layanan cloud kecuali Message Queue for Apache RocketMQ, Message Queue for RabbitMQ, Message Queue for MQTT, EventBridge, Lightweight Message Queue, Cloud Monitor (pelaporan data pemantauan event berbasis HTTP), dan Hologres. Layanan cloud yang tidak didukung akan memberi tahu Anda saat sudah didukung.
Anda dapat mengonfigurasi hingga delapan kebijakan kontrol akses jaringan untuk satu Akun Alibaba Cloud atau satu pasangan AccessKey. Namun, Anda hanya dapat mengonfigurasi satu kebijakan kontrol akses jaringan publik untuk satu Akun Alibaba Cloud atau satu pasangan AccessKey.
Setiap kebijakan dapat mencakup hingga 50 alamat IP atau blok CIDR.

Mengonfigurasi kebijakan

Sebelum mengonfigurasi kebijakan, kami menyarankan agar Anda merujuk pada catatan audit AccessKey dan informasi manajemen jaringan perusahaan untuk mengidentifikasi daftar alamat jaringan tepercaya guna memastikan kebijakan akses yang akurat dan lengkap.

Mengonfigurasi kebijakan berbasis pasangan AccessKey tingkat akun untuk kontrol akses jaringan

Login ke Konsol Resource Access Management (RAM) sebagai administrator RAM.
Pada halaman Settings, di bagian Network Access Control, klik Modify di sebelah kanan Source Network Addresses That Can Be Used To Call API Operations By Using AccessKey Pairs.
Pada panel Account-level AccessKey Pair-based Policies For Network Access Control, konfigurasikan kebijakan jaringan publik dan kebijakan VPC, aktifkan kebijakan tersebut, lalu klik Submit.
- Policy Status: Pilih Enable agar kebijakan yang dikonfigurasi berlaku.
- Public Network Policy: Klik Add Public Network Policy dan masukkan alamat IP publik atau blok CIDR. Format IPv4 dan IPv6 didukung.
  Jika Anda tidak menambahkan kebijakan jaringan publik apa pun, semua alamat IP publik ditolak aksesnya. Jika Anda mengklik Allow All Public Network Access, kebijakan jaringan publik dengan 0.0.0.0/0 atau ::/0 akan ditambahkan, yang mengizinkan semua alamat IP publik mengakses.
- VPC Policy: Klik Add VPC Policy dan masukkan ID VPC serta alamat IP atau blok CIDR di dalam VPC tersebut. Format IPv4 dan IPv6 didukung.
  Jika Anda tidak menambahkan kebijakan VPC apa pun, semua alamat IP di dalam VPC ditolak aksesnya. Jika Anda mengklik Allow All VPC Access, kebijakan VPC dengan ID VPC AllowAllVPC dan alamat IP 0.0.0.0/0 atau ::/0 akan ditambahkan, yang mengizinkan semua alamat IP di dalam semua VPC (tanpa memandang akun) mengakses.
Catatan
Anda dapat memasukkan beberapa alamat IP atau blok CIDR dalam satu kebijakan. Pisahkan alamat IP tersebut dengan spasi, koma (,), atau titik koma (;).
Pada kotak dialog Confirm Submission, masukkan ID akun Anda dan klik OK.
Penting
Kebijakan mulai berlaku setelah penundaan beberapa menit. Kebijakan berbasis pasangan AccessKey tingkat akun untuk kontrol akses jaringan tidak berlaku pada pasangan AccessKey yang telah dikonfigurasi kebijakan tingkat pasangan AccessKey.

Mengonfigurasi kebijakan berbasis pasangan AccessKey tingkat pasangan AccessKey untuk kontrol akses jaringan bagi Pengguna RAM

Login ke Konsol Resource Access Management (RAM) sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Identity Management > Users.
Pada halaman Users, klik nama Pengguna RAM yang dituju.
Pada tab Authentication, di bagian AccessKey, klik Network Access Control Policy di kolom Actions pasangan AccessKey yang dituju.
Pada panel AccessKey Pair-level Policies For Network Access Control, konfigurasikan kebijakan jaringan publik dan kebijakan VPC, aktifkan kebijakan tersebut, lalu klik Submit.
- Policy Status: Pilih Enable agar kebijakan yang dikonfigurasi berlaku.
- Public Network Policy: Klik Add Public Network Policy dan masukkan alamat IP publik atau blok CIDR. Format IPv4 dan IPv6 didukung.
  Jika Anda tidak menambahkan kebijakan jaringan publik apa pun, semua alamat IP publik ditolak aksesnya. Jika Anda mengklik Allow All Public Network Access, kebijakan jaringan publik dengan 0.0.0.0/0 atau ::/0 akan ditambahkan, yang mengizinkan semua alamat IP publik mengakses.
- VPC Policy: Klik Add VPC Policy dan masukkan ID VPC serta alamat IP atau blok CIDR di dalam VPC tersebut. Format IPv4 dan IPv6 didukung.
  Jika Anda tidak menambahkan kebijakan VPC apa pun, semua alamat IP di dalam VPC ditolak aksesnya. Jika Anda mengklik Allow All VPC Access, kebijakan VPC dengan ID VPC AllowAllVPC dan alamat IP 0.0.0.0/0 atau ::/0 akan ditambahkan, yang mengizinkan semua alamat IP di dalam semua VPC (tanpa memandang akun) mengakses.
Catatan
Anda dapat memasukkan beberapa alamat IP atau blok CIDR dalam satu kebijakan. Pisahkan alamat IP tersebut dengan spasi, koma (,), atau titik koma (;).
Pada kotak dialog Confirm Submission, masukkan ID AccessKey dan klik OK.
Penting
Kebijakan mulai berlaku setelah penundaan beberapa menit. Kebijakan berbasis pasangan AccessKey tingkat akun untuk kontrol akses jaringan tidak berlaku pada pasangan AccessKey yang telah dikonfigurasi kebijakan tingkat pasangan AccessKey.

Mengonfigurasi kebijakan berbasis pasangan AccessKey tingkat pasangan AccessKey untuk kontrol akses jaringan bagi Akun Alibaba Cloud

Login ke Alibaba Cloud Management Console sebagai Akun Alibaba Cloud.
Arahkan pointer ke ikon akun di pojok kanan atas dan klik AccessKey.
Pada kotak dialog Using An Alibaba Cloud Account AccessKey Is Not Recommended, pilih I Understand The Risks Of Using An Alibaba Cloud Account AccessKey dan klik Continue To Use AccessKey.
Klik Network Access Control Policy di kolom Actions pasangan AccessKey yang dituju.
Pada panel AccessKey Pair-level Policies For Network Access Control, konfigurasikan kebijakan jaringan publik dan kebijakan VPC, aktifkan kebijakan tersebut, lalu klik Submit.
- Policy Status: Pilih Enable agar kebijakan yang dikonfigurasi berlaku.
- Public Network Policy: Klik Add Public Network Policy dan masukkan alamat IP publik atau blok CIDR. Format IPv4 dan IPv6 didukung.
  Jika Anda tidak menambahkan kebijakan jaringan publik apa pun, semua alamat IP publik ditolak aksesnya. Jika Anda mengklik Allow All Public Network Access, kebijakan jaringan publik dengan 0.0.0.0/0 atau ::/0 akan ditambahkan, yang mengizinkan semua alamat IP publik mengakses.
- VPC Policy: Klik Add VPC Policy dan masukkan ID VPC serta alamat IP atau blok CIDR di dalam VPC tersebut. Format IPv4 dan IPv6 didukung.
  Jika Anda tidak menambahkan kebijakan VPC apa pun, semua alamat IP di dalam VPC ditolak aksesnya. Jika Anda mengklik Allow All VPC Access, kebijakan VPC dengan ID VPC AllowAllVPC dan alamat IP 0.0.0.0/0 atau ::/0 akan ditambahkan, yang mengizinkan semua alamat IP di dalam semua VPC (tanpa memandang akun) mengakses.
Catatan
Anda dapat memasukkan beberapa alamat IP atau blok CIDR dalam satu kebijakan. Pisahkan alamat IP tersebut dengan spasi, koma (,), atau titik koma (;).
Pada kotak dialog Confirm Submission, masukkan ID AccessKey dan klik OK.
Penting
Kebijakan mulai berlaku setelah penundaan beberapa menit. Kebijakan berbasis pasangan AccessKey tingkat akun untuk kontrol akses jaringan tidak berlaku pada pasangan AccessKey yang telah dikonfigurasi kebijakan tingkat pasangan AccessKey.

Contoh konfigurasi

Skenario	Konfigurasi kebijakan
Tidak ada kontrol akses jaringan yang diterapkan pada semua pasangan AccessKey.	Atur status kebijakan kontrol akses jaringan tingkat akun maupun tingkat pasangan AccessKey menjadi Disable (terlepas dari apakah kebijakan tersebut berisi konten atau tidak).
Panggilan yang berasal dari semua alamat IP publik perlu diizinkan.	Tambahkan kebijakan jaringan publik dengan alamat IP `0.0.0.0/0` atau `::/0` ke kebijakan kontrol akses jaringan tingkat akun atau tingkat pasangan AccessKey.
Panggilan yang berasal dari semua alamat IP di dalam semua VPC (tanpa memandang akun) perlu diizinkan.	Tambahkan kebijakan VPC dengan ID VPC `AllowAllVPC` dan alamat IP `0.0.0.0/0` atau `::/0` ke kebijakan kontrol akses jaringan tingkat akun atau tingkat pasangan AccessKey.
Panggilan yang berasal dari semua alamat IP publik perlu ditolak.	Atur status kebijakan kontrol akses jaringan tingkat akun atau tingkat pasangan AccessKey menjadi Enable tetapi jangan tambahkan kebijakan jaringan publik apa pun.
Panggilan yang berasal dari semua alamat IP di dalam VPC perlu ditolak.	Atur status kebijakan kontrol akses jaringan tingkat akun atau tingkat pasangan AccessKey menjadi Enable tetapi jangan tambahkan kebijakan VPC apa pun.
Kontrol akses jaringan tingkat akun dikonfigurasi. Pasangan AccessKey tertentu dapat digunakan oleh semua alamat IP publik dan VPC untuk melakukan panggilan.	Konfigurasikan kebijakan berikut untuk kontrol akses jaringan tingkat pasangan AccessKey: Public Network Policy: Tambahkan kebijakan jaringan publik dengan alamat IP `0.0.0.0/0` atau `::/0`. VPC Policy: Tambahkan kebijakan VPC dengan ID VPC `AllowAllVPC` dan alamat IP `0.0.0.0/0` atau `::/0`.
Semua pasangan AccessKey dalam Akun Alibaba Cloud dapat digunakan oleh alamat IP publik (misalnya, `203.0.113.1`) untuk memanggil operasi API Alibaba Cloud. Secara bersamaan, semua pasangan AccessKey dapat digunakan oleh alamat IP di dalam blok CIDR `192.168.0.0/16` di VPC (misalnya, `vpc-m5ekxe1zi8zwgqrtc****`) untuk memanggil operasi API Alibaba Cloud.	Konfigurasikan kebijakan berikut untuk kontrol akses jaringan berbasis pasangan AccessKey tingkat akun: Public Network Policy: Tambahkan kebijakan jaringan publik dengan alamat IP `203.0.113.1`. VPC Policy: Tambahkan kebijakan VPC dengan ID VPC `vpc-m5ekxe1zi8zwgqrtc****` dan alamat IP `192.168.0.0/16`. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan berbasis pasangan AccessKey tingkat akun untuk kontrol akses jaringan.
Pasangan AccessKey tertentu dapat digunakan oleh alamat IP publik (misalnya, `203.0.113.1`) untuk memanggil operasi API Alibaba Cloud. Secara bersamaan, pasangan AccessKey tersebut dapat digunakan oleh alamat IP di dalam blok CIDR `192.168.0.0/16` di VPC (misalnya, `vpc-m5ekxe1zi8zwgqrtc****`) untuk memanggil operasi API Alibaba Cloud.	Konfigurasikan kebijakan berikut untuk kontrol akses jaringan tingkat pasangan AccessKey: Public Network Policy: Tambahkan kebijakan jaringan publik dengan alamat IP `203.0.113.1`. VPC Policy: Tambahkan kebijakan VPC dengan ID VPC `vpc-m5ekxe1zi8zwgqrtc****` dan alamat IP `192.168.0.0/16`. Setelah kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan diaktifkan untuk pasangan AccessKey tersebut, kebijakan berbasis pasangan AccessKey tingkat akun untuk kontrol akses jaringan tidak berlaku pada pasangan AccessKey tersebut. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan berbasis pasangan AccessKey tingkat pasangan AccessKey untuk kontrol akses jaringan bagi Pengguna RAM dan Mengonfigurasi kebijakan berbasis pasangan AccessKey tingkat pasangan AccessKey untuk kontrol akses jaringan bagi Akun Alibaba Cloud.

FAQ

Bagaimana cara mengidentifikasi alamat IP jaringan tepercaya?

Lihat alamat IP panggilan historis di ActionTrail

Anda dapat menggunakan fitur kueri dan analisis log audit yang disediakan oleh ActionTrail untuk melihat alamat IP sumber dari panggilan historis yang berhasil. Detailnya:

Jika Anda telah membuat trail SLS: Di halaman Trails pada Konsol ActionTrail, buka detail trail dan klik nama Logstore SLS untuk menuju ke Konsol Simple Log Service. Anda dapat mencari dan mengkueri untuk melihat alamat IP panggilan historis (event.sourceIpAddress) dari pasangan AccessKey tertentu (event.userIdentity.accessKeyId) dan ID VPC (event.vpcId) dari panggilan historis. Untuk informasi selengkapnya, lihat Mengkueri event menggunakan konsol SLS atau OSS.
Pernyataan pencarian contoh:
* | SELECT "event.userIdentity.accessKeyId" AS access_key_id, "event.sourceIpAddress" AS source_ip_address, "event.vpcId" AS vpc_id FROM log WHERE "event.userIdentity.accessKeyId" = 'LTAI****************'
Jika Anda belum membuat trail SLS: Di halaman AccessKey Audit pada Konsol ActionTrail, masukkan ID AccessKey dan lihat alamat IP sumber panggilan untuk setiap layanan cloud di catatan panggilan. Untuk informasi selengkapnya, lihat Mengkueri log AccessKey.

ActionTrail hanya dapat mengkueri event audit dari layanan cloud yang didukung. Untuk event data yang tidak didukung oleh ActionTrail, Anda perlu menggunakan fitur audit dari layanan cloud tersebut.

Kueri konfigurasi jaringan

Aplikasi yang diterapkan di Alibaba Cloud

Ketika aplikasi diterapkan di ECS Alibaba Cloud atau layanan kontainer, Anda dapat langsung mengkueri alamat IP publik, ID VPC, dan blok CIDR pribadi yang terikat pada instans, kluster, dan sumber daya lainnya di Alibaba Cloud.

Jika aplikasi Anda memanggil titik akhir publik layanan cloud, panggilan dilakukan melalui Internet. Alamat IP sumber adalah alamat IP egress publik atau alamat IP publik yang terikat pada Gateway NAT Internet. Jika aplikasi Anda memanggil titik akhir VPC layanan cloud, panggilan dilakukan melalui VPC. Alamat IP sumber adalah alamat IP pribadi di dalam VPC.

Panggilan antar layanan cloud

Ketika Anda menggunakan Layanan Alibaba Cloud A untuk mentransmisikan data ke Layanan Alibaba Cloud B, layanan cloud biasanya menyediakan beberapa metode panggilan. Saat memanggil Layanan Cloud B, alamat IP layanan cloud tersebut mungkin digunakan. Dalam catatan event ActionTrail, sumber event biasanya ditampilkan sebagai alamat layanan cloud atau "internal". Kami menyarankan agar Anda memeriksa dokumentasi layanan cloud dan memilih untuk menggunakan peran server atau solusi lain yang tidak memerlukan kredensial AccessKey.

Berikut adalah beberapa referensi untuk panggilan antar layanan cloud:

DataWorks: Untuk blok CIDR IP yang digunakan untuk memanggil MaxCompute guna analitik data, lihat Lampiran: Daftar putih analitik data. Untuk blok CIDR IP yang mungkin digunakan untuk pengambilan metadata, lihat Konfigurasi daftar putih untuk pengambilan metadata ketika sumber data memiliki kontrol akses daftar putih.
Simple Log Service: Untuk meneruskan log ke akun Alibaba Cloud lain melalui transformasi data, kami menyarankan agar Anda membuat dan menggunakan Peran RAM untuk menyelesaikan penerusan data dalam akun yang sama daripada menggunakan pasangan AccessKey.
Application Real-Time Monitoring Service (ARMS): Untuk akses lintas akun, kami menyarankan agar Anda menggunakan metode akses Peran RAM.

Alamat IP dinamis

Ketika sumber daya cloud diskalakan secara elastis atau dikonfigurasi ulang secara otomatis, alamat IP berubah secara dinamis. Anda perlu segera menambahkan alamat IP baru ke kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan.
Function Compute: Secara default, alamat IP publik dinamis digunakan dan alamat IP pasti tidak dapat disediakan. Anda dapat mengonfigurasi alamat IP publik statis.

Aplikasi yang diterapkan di luar Alibaba Cloud

Konfirmasi secara manual alamat IP egress dari lingkungan penerapan aplikasi.

Alamat IP jaringan kantor

Jika Anda menggunakan pasangan AccessKey untuk pengembangan dan pengujian lokal, hubungi administrator jaringan perusahaan Anda untuk mendapatkan alamat IP egress dari jaringan kantor.

Apa yang harus saya lakukan jika panggilan API ditolak oleh kebijakan kontrol akses jaringan dan penolakan tersebut tidak sesuai harapan saya?

Deskripsi masalah

Setelah kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan berlaku, panggilan dari alamat IP sumber yang tidak termasuk dalam rentang yang diizinkan akan ditolak. Pesan kesalahan umum sebagai berikut:

Message: The specified parameter "AccessKeyId.AccessPolicyDenied" is not valid.

Message: code: 400, Specified access key denied due to access policy.

Solusi

Jika panggilan ditolak oleh kebijakan kontrol akses jaringan dan penolakan tersebut tidak sesuai harapan Anda, Anda dapat mencoba solusi berikut:

Periksa apakah kebijakan kontrol akses jaringan tingkat pasangan AccessKey telah dikonfigurasi untuk pasangan AccessKey yang ditolak.
- Jika ya, ubah kebijakan kontrol akses jaringan tingkat pasangan AccessKey untuk menambahkan alamat IP sumber ke dalam kebijakan tersebut.
- Jika tidak, lanjutkan ke langkah berikutnya.
Gunakan administrator RAM untuk memeriksa dan mengubah kebijakan berbasis pasangan AccessKey tingkat akun untuk kontrol akses jaringan agar menambahkan alamat IP sumber ke dalam kebijakan tersebut.
Jika masalah tetap berlanjut, alamat IP sumber mungkin salah. Anda perlu memeriksa dan mendapatkan alamat IP yang benar.
Anda dapat menggunakan ActionTrail untuk membantu mengkueri alamat IP sumber panggilan historis dari pasangan AccessKey tersebut. Untuk informasi selengkapnya, lihat Lihat alamat IP panggilan historis di ActionTrail.