All Products
Search
Document Center

Resource Access Management:Kebijakan ACL jaringan AccessKey

Last Updated:Jul 11, 2026

Kebijakan ACL jaringan membatasi alamat IP sumber dari permintaan API yang menggunakan AccessKey permanen sehingga penggunaannya tetap berada dalam lingkungan jaringan tepercaya.

Jenis kebijakan

RAM menyediakan dua jenis kebijakan ACL jaringan AccessKey:

  • Kebijakan ACL jaringan tingkat akun

    Kebijakan ini berlaku untuk semua AccessKey dalam suatu Akun Alibaba Cloud, termasuk AccessKey Akun Alibaba Cloud dan AccessKey Pengguna RAM. Konfigurasikan kebijakan ini untuk menerapkan pembatasan jaringan seragam pada semua AccessKey dalam akun Anda.

  • Kebijakan ACL jaringan tingkat AccessKey

    Kebijakan ini berlaku untuk satu AccessKey milik Akun Alibaba Cloud atau Pengguna RAM. Konfigurasikan kebijakan ini untuk menetapkan pembatasan pada satu AccessKey tertentu atau menggantikan kebijakan tingkat akun.

Kebijakan tingkat AccessKey memiliki prioritas lebih tinggi daripada kebijakan tingkat akun. Jika suatu AccessKey memiliki kebijakan tingkat AccessKey tertentu, kebijakan tingkat akun tidak berlaku untuk AccessKey tersebut.

Bagan alir berikut menunjukkan cara evaluasi kedua jenis kebijakan tersebut.

image

Catatan penggunaan

  • Kebijakan ACL jaringan hanya membatasi panggilan API yang dilakukan menggunakan AccessKey permanen. Kebijakan ini tidak berlaku untuk kredensial sementara, seperti token STS.

  • Untuk membatasi akses jaringan saat login ke konsol, gunakan mask login. Untuk informasi selengkapnya, lihat Pengaturan kontrol akses jaringan.

  • Uji kebijakan terlebih dahulu pada AccessKey uji coba atau AccessKey yang baru dibuat. Setelah hasilnya terkonfirmasi, terapkan kebijakan tersebut pada AccessKey produksi untuk menghindari gangguan layanan akibat pengaturan alamat IP yang tidak lengkap.

  • Jika aplikasi yang diterapkan di Alibaba Cloud memanggil layanan cloud lain melalui jaringan publik, konfigurasikan kebijakan jaringan publik. Jika aplikasi tersebut memanggil layanan cloud lain melalui jaringan pribadi, konfigurasikan kebijakan VPC.

Batasan

  • Kebijakan ACL jaringan untuk AccessKey berlaku untuk semua layanan cloud kecuali ApsaraMQ for RocketMQ, ApsaraMQ for RabbitMQ, ApsaraMQ for MQTT, EventBridge, Message Service (MNS), CloudMonitor (untuk pelaporan data pemantauan event melalui HTTP), dan Hologres. Layanan terkait akan mengumumkan saat dukungan ditambahkan.

  • Anda dapat menambahkan hingga delapan kebijakan ACL jaringan ke suatu Akun Alibaba Cloud atau satu AccessKey. Hanya satu di antaranya yang dapat berupa kebijakan jaringan publik.

  • Setiap kebijakan dapat berisi maksimal 50 alamat IP atau blok CIDR.

Konfigurasi kebijakan

Sebelum mengonfigurasi kebijakan, tinjau catatan audit AccessKey dari ActionTrail dan konfigurasi jaringan perusahaan Anda untuk menyusun daftar lengkap alamat jaringan tepercaya.

Kebijakan tingkat akun

  1. Login ke RAM console sebagai administrator RAM.

  2. Pada halaman Settings, di bagian Network Access Control, klik Modify di sebelah Allowed source network address while calling APIs by AccessKey.

  3. Pada panel Account-level Network Access Control, konfigurasikan kebijakan jaringan publik dan kebijakan VPC, aktifkan kebijakan tersebut, lalu klik Submit.

    Kebijakan akses jaringan tidak berlaku untuk layanan berikut: ApsaraMQ for RocketMQ, ApsaraMQ for RabbitMQ, ApsaraMQ for MQTT, EventBridge, Message Service (MNS), CloudMonitor (untuk pelaporan data pemantauan event melalui HTTP), dan Hologres. Sebelum membuat kebijakan, kami sarankan Anda memeriksa alamat IP sumber historis dengan meninjau log operasi AccessKey.

    • Policy Status: Pilih Enable untuk mengaktifkan kebijakan.

    • Public Network ACL: Klik Add Public Network Statement dan masukkan alamat IP publik atau blok CIDR. Format IPv4 dan IPv6 didukung.

      Jika Anda tidak menambahkan kebijakan jaringan publik, akses dari semua alamat IP publik akan ditolak. Untuk mengizinkan akses dari semua alamat IP publik, klik Allow All Public Network Access. Tindakan ini akan menambahkan kebijakan jaringan publik yang berisi 0.0.0.0/0 atau ::/0.

    • VPC Network ACL: Klik Add VPC (Virtual Private Cloud) Statement, lalu masukkan ID VPC dan alamat IP atau blok CIDR di dalam VPC tersebut. Format IPv4 dan IPv6 didukung.

      Jika Anda tidak menambahkan kebijakan VPC, akses dari semua alamat IP di VPC akan ditolak. Untuk mengizinkan akses dari semua alamat IP di VPC mana pun di seluruh akun, klik Allow All VPC Network Access. Tindakan ini akan menambahkan kebijakan VPC dengan ID VPC diatur ke AllowAllVPC dan alamat IP diatur ke 0.0.0.0/0 atau ::/0.

    Catatan

    Anda dapat memasukkan beberapa alamat IP atau blok CIDR dalam satu kebijakan. Pisahkan entri dengan spasi, koma (,), atau titik koma (;).

  4. Pada kotak dialog Confirm Submission, masukkan ID akun, lalu klik OK.

    Penting

    Kebijakan memerlukan beberapa menit untuk berlaku setelah dikirim. Kebijakan ACL jaringan tingkat akun tidak berlaku untuk AccessKey yang memiliki kebijakan tingkat AccessKey.

Kebijakan tingkat AccessKey untuk Pengguna RAM

  1. Login ke RAM console sebagai administrator RAM.

  2. Di panel navigasi kiri, pilih Identities > Users.

  3. Pada halaman Users, klik nama Pengguna RAM target.

  4. Pada tab Authentication, di bagian AccessKey, temukan AccessKey target dan klik Network Access Control di kolom Actions.

    Jika AccessKey target dibuat lama (misalnya, lima bulan lalu), label Rotation Recommended akan muncul, yang mengingatkan Anda untuk segera melakukan rotasi AccessKey.

  5. Pada panel AccessKey-level Network Access Control, konfigurasikan kebijakan jaringan publik dan kebijakan VPC, aktifkan kebijakan tersebut, lalu klik Submit.

    Kebijakan ini tidak berlaku untuk layanan berikut: ApsaraMQ for RocketMQ, ApsaraMQ for RabbitMQ, ApsaraMQ for MQTT, EventBridge, Message Service (MNS), CloudMonitor (untuk pelaporan data pemantauan event melalui HTTP), dan Hologres. Kami sarankan Anda meninjau log operasi AccessKey sebelum membuat kebijakan.

    • Policy Status: Pilih Enable untuk mengaktifkan kebijakan.

    • Public Network ACL: Klik Add Public Network Statement dan masukkan alamat IP publik atau blok CIDR. Format IPv4 dan IPv6 didukung.

      Jika Anda tidak menambahkan kebijakan jaringan publik, akses dari semua alamat IP publik akan ditolak. Untuk mengizinkan akses dari semua alamat IP publik, klik Allow All Public Network Access. Tindakan ini akan menambahkan kebijakan jaringan publik yang berisi 0.0.0.0/0 atau ::/0.

    • VPC Network ACL: Klik Add VPC (Virtual Private Cloud) Statement, lalu masukkan ID VPC dan alamat IP atau blok CIDR di dalam VPC tersebut. Format IPv4 dan IPv6 didukung.

      Jika Anda tidak menambahkan kebijakan VPC, akses dari semua alamat IP di VPC akan ditolak. Untuk mengizinkan akses dari semua alamat IP di VPC mana pun di seluruh akun, klik Allow All VPC Network Access. Tindakan ini akan menambahkan kebijakan VPC dengan ID VPC diatur ke AllowAllVPC dan alamat IP diatur ke 0.0.0.0/0 atau ::/0.

    Catatan

    Anda dapat memasukkan beberapa alamat IP atau blok CIDR dalam satu kebijakan. Pisahkan entri dengan spasi, koma (,), atau titik koma (;).

  6. Pada kotak dialog Confirm Submission, masukkan ID AccessKey, lalu klik OK.

    Penting

    Kebijakan memerlukan beberapa menit untuk berlaku setelah dikirim. Kebijakan ACL jaringan tingkat akun tidak berlaku untuk AccessKey yang memiliki kebijakan tingkat AccessKey.

Kebijakan tingkat AccessKey untuk Akun Alibaba Cloud

  1. Login ke Alibaba Cloud Management Console dengan Akun Alibaba Cloud Anda.

  2. Arahkan kursor ke ikon profil di pojok kanan atas dan klik AccessKey.

    image

  3. Pada kotak dialog Main Account AccessKey is not recommended, pilih I am aware of the security risks of using a main account AccessKey lalu klik use Main Account AccessKey.

  4. Temukan AccessKey target dan klik Network Access Control di kolom Actions.

  5. Pada panel AccessKey-level Network Access Control, konfigurasikan kebijakan jaringan publik dan kebijakan VPC, aktifkan kebijakan tersebut, lalu klik Submit.

    • Policy Status: Pilih Enable untuk mengaktifkan kebijakan.

    • Public Network ACL: Klik Add Public Network Statement dan masukkan alamat IP publik atau blok CIDR. Format IPv4 dan IPv6 didukung.

      Jika Anda tidak menambahkan kebijakan jaringan publik, akses dari semua alamat IP publik akan ditolak. Untuk mengizinkan akses dari semua alamat IP publik, klik Allow All Public Network Access. Tindakan ini akan menambahkan kebijakan jaringan publik yang berisi 0.0.0.0/0 atau ::/0.

    • VPC Network ACL: Klik Add VPC (Virtual Private Cloud) Statement, lalu masukkan ID VPC dan alamat IP atau blok CIDR di dalam VPC tersebut. Format IPv4 dan IPv6 didukung.

      Jika Anda tidak menambahkan kebijakan VPC, akses dari semua alamat IP di VPC akan ditolak. Untuk mengizinkan akses dari semua alamat IP di VPC mana pun di seluruh akun, klik Allow All VPC Network Access. Tindakan ini akan menambahkan kebijakan VPC dengan ID VPC diatur ke AllowAllVPC dan alamat IP diatur ke 0.0.0.0/0 atau ::/0.

    Catatan

    Anda dapat memasukkan beberapa alamat IP atau blok CIDR dalam satu kebijakan. Pisahkan entri dengan spasi, koma (,), atau titik koma (;).

  6. Pada kotak dialog Confirm Submission, masukkan ID AccessKey, lalu klik OK.

    Penting

    Kebijakan memerlukan beberapa menit untuk berlaku setelah dikirim. Kebijakan ACL jaringan tingkat akun tidak berlaku untuk AccessKey yang memiliki kebijakan tingkat AccessKey.

Contoh konfigurasi

Skenario

Konfigurasi Kebijakan

Tidak membatasi akses jaringan untuk AccessKey apa pun.

Atur status kebijakan ACL jaringan tingkat akun dan tingkat AccessKey menjadi Disable, terlepas dari isi kebijakan.

Mengizinkan panggilan dari semua alamat IP publik.

Dalam kebijakan ACL jaringan tingkat akun atau tingkat AccessKey, tambahkan kebijakan jaringan publik dengan alamat IP 0.0.0.0/0 atau ::/0.

Mengizinkan panggilan dari alamat IP di semua VPC, terlepas dari akunnya.

Dalam kebijakan ACL jaringan tingkat akun atau tingkat AccessKey, tambahkan kebijakan VPC dengan ID VPC AllowAllVPC dan alamat IP 0.0.0.0/0 atau ::/0.

Menolak semua panggilan dari alamat IP publik.

Dalam kebijakan ACL jaringan tingkat akun atau tingkat AccessKey, atur status kebijakan menjadi Enable, tetapi jangan tambahkan kebijakan jaringan publik apa pun.

Menolak semua panggilan dari alamat IP di VPC.

Dalam kebijakan ACL jaringan tingkat akun atau tingkat AccessKey, atur status kebijakan menjadi Enable, tetapi jangan tambahkan kebijakan VPC apa pun.

Kebijakan pembatasan akses jaringan tingkat akun telah dikonfigurasi, dan Anda perlu mengizinkan AccessKey tertentu menerima panggilan dari alamat IP publik dan VPC apa pun.

Aktifkan kebijakan ACL jaringan tingkat AccessKey untuk AccessKey tertentu dengan konten berikut:

  • Kebijakan jaringan publik: Tambahkan kebijakan jaringan publik dengan alamat IP 0.0.0.0/0 atau ::/0.

  • Kebijakan VPC: Tambahkan kebijakan VPC dengan ID VPC AllowAllVPC dan alamat IP 0.0.0.0/0 atau ::/0.

Mengizinkan semua AccessKey dalam suatu Akun Alibaba Cloud memanggil API Alibaba Cloud dari alamat IP publik (misalnya, 203.0.113.1) dan dari dalam VPC (misalnya, vpc-m5ekxe1zi8zwgqrtc****) serta blok CIDR-nya 192.168.0.0/16.

Aktifkan kebijakan ACL jaringan tingkat akun dengan konten berikut:

  • Kebijakan jaringan publik: Tambahkan kebijakan jaringan publik dengan alamat IP 203.0.113.1.

  • Kebijakan VPC: Tambahkan kebijakan VPC dengan ID VPC vpc-m5ekxe1zi8zwgqrtc**** dan alamat IP 192.168.0.0/16.

Untuk informasi selengkapnya, lihat Konfigurasi kebijakan tingkat akun.

Mengizinkan AccessKey tertentu memanggil API Alibaba Cloud dari alamat IP publik (misalnya, 203.0.113.1) dan dari dalam VPC (misalnya, vpc-m5ekxe1zi8zwgqrtc****) serta blok CIDR-nya 192.168.0.0/16.

Aktifkan kebijakan ACL jaringan tingkat AccessKey untuk AccessKey tertentu dengan konten berikut:

  • Kebijakan jaringan publik: Tambahkan kebijakan jaringan publik dengan alamat IP 203.0.113.1.

  • Kebijakan VPC: Tambahkan kebijakan VPC dengan ID VPC vpc-m5ekxe1zi8zwgqrtc**** dan alamat IP 192.168.0.0/16.

Setelah kebijakan ACL jaringan tingkat AccessKey diaktifkan, kebijakan tingkat akun tidak lagi berlaku untuk AccessKey ini.

Untuk informasi selengkapnya, lihat Konfigurasi kebijakan tingkat AccessKey untuk Pengguna RAM dan Konfigurasi kebijakan tingkat AccessKey untuk Akun Alibaba Cloud.

Mengizinkan panggilan API melalui koneksi peering VPC dari VPC peer (misalnya, vpc-bp1xxx****) dalam blok CIDR 172.16.0.0/12.

Dalam kebijakan ACL jaringan tingkat akun atau tingkat AccessKey, tambahkan kebijakan VPC. Untuk ID VPC, masukkan ID VPC peer (misalnya, vpc-bp1xxx****). Untuk alamat IP, masukkan blok CIDR VPC peer (misalnya, 172.16.0.0/12).

Jika Anda hanya menambahkan kebijakan VPC tanpa kebijakan jaringan publik, semua panggilan API publik akan ditolak. Evaluasi dampaknya terhadap beban kerja Anda sebelum menerapkan kebijakan ini.

Untuk informasi selengkapnya, lihat Konfigurasi kebijakan tingkat akun.

FAQ

Bagaimana cara mengidentifikasi alamat IP tepercaya?

Tinjau data panggilan API historis di ActionTrail

Gunakan log audit ActionTrail untuk mengkueri alamat IP sumber dari panggilan API sukses sebelumnya. Pilih salah satu metode berikut:

  • Jika Anda telah mengonfigurasi pengiriman trail ke Log Service (SLS): Di Konsol ActionTrail, pada halaman Trails, buka detail trail dan klik nama Logstore SLS untuk membuka konsol Log Service. Anda kemudian dapat menjalankan kueri pencarian untuk mengumpulkan alamat IP sumber historis (event.sourceIpAddress) dan ID VPC (event.vpcId) untuk AccessKey tertentu (bidang event.userIdentity.accessKeyId). Untuk informasi selengkapnya, lihat Kueri event di konsol Log Service atau OSS.

    Kueri contoh:

    * | SELECT "event.userIdentity.accessKeyId" AS access_key_id, "event.sourceIpAddress" AS source_ip_address, "event.vpcId" AS vpc_id FROM log WHERE "event.userIdentity.accessKeyId" = 'LTAI****************'

  • Jika Anda belum mengonfigurasi pengiriman trail: Di Konsol ActionTrail, pada halaman AccessKey Audit, masukkan ID AccessKey lalu lihat alamat IP sumber untuk setiap layanan cloud dalam catatan panggilan. Untuk informasi selengkapnya, lihat Kueri log AccessKey.

ActionTrail hanya mencakup event audit layanan cloud yang didukung. Untuk event data yang tidak didukung, gunakan fitur audit native dari layanan cloud terkait.

Kueri konfigurasi jaringan

Aplikasi yang diterapkan di Alibaba Cloud

Untuk aplikasi yang diterapkan di layanan Alibaba Cloud seperti ECS atau layanan kontainer, temukan alamat IP publik, ID VPC, dan blok CIDR pribadi dari resource Anda di konsol Alibaba Cloud.

Jika aplikasi Anda memanggil layanan cloud menggunakan titik akhir publik, alamat IP sumber adalah alamat IP egress publik dari resource tersebut atau gerbang NAT-nya. Jika aplikasi Anda memanggil layanan cloud menggunakan titik akhir VPC, alamat IP sumber adalah alamat IP pribadi dari VPC tersebut.

Panggilan antar layanan cloud

Panggilan antar layanan Alibaba Cloud dapat berasal dari alamat IP internal. Dalam catatan ActionTrail, sumber event mungkin muncul sebagai alamat layanan atau sebagai "internal". Kami sarankan menggunakan peran RAM atau metode kredensial lain yang tidak memerlukan AccessKey.

Berikut adalah konfigurasi referensi untuk panggilan antar layanan tertentu:

Alamat IP dinamis
  • Alamat IP resource cloud dapat berubah selama skalabilitas elastis atau rekonfigurasi otomatis. Segera tambahkan alamat IP baru ke kebijakan ACL jaringan.

  • Function Compute: Secara default, Function Compute menggunakan alamat IP publik dinamis. Anda dapat mengonfigurasi alamat IP publik statis.

Aplikasi yang diterapkan di luar Alibaba Cloud

Konfirmasi secara manual alamat IP egress dari lingkungan penerapan aplikasi Anda.

Alamat IP jaringan kantor

Jika Anda menggunakan AccessKey untuk pengembangan dan debugging lokal, hubungi administrator jaringan perusahaan Anda untuk mendapatkan alamat IP egress jaringan kantor Anda.

Troubleshooting penolakan yang tidak terduga

Gejala

Setelah kebijakan ACL jaringan berlaku, panggilan dari alamat IP sumber di luar rentang yang diizinkan akan ditolak. Pesan error umum meliputi:

Message: The specified parameter "AccessKeyId.AccessPolicyDenied" is not valid.
Message: code: 400, Specified access key denied due to access policy. 

Solusi

Jika panggilan API ditolak secara tidak terduga oleh kebijakan ACL jaringan, ikuti langkah troubleshooting berikut:

  1. Periksa apakah AccessKey yang terpengaruh memiliki kebijakan ACL jaringan tingkat AccessKey.

    • Jika ya, modifikasi kebijakan ACL jaringan tingkat AccessKey untuk menyertakan alamat IP sumber.

    • Jika tidak, lanjutkan ke langkah berikutnya.

  2. Sebagai administrator RAM, periksa dan modifikasi kebijakan ACL jaringan tingkat akun untuk menyertakan alamat IP sumber.

  3. Jika masalah tetap berlanjut, alamat IP sumber dalam kebijakan mungkin tidak akurat. Verifikasi dan peroleh alamat IP yang benar.

    Anda dapat menggunakan ActionTrail untuk menemukan alamat IP sumber historis untuk panggilan AccessKey. Untuk informasi selengkapnya, lihat Tinjau data panggilan API historis di ActionTrail.