All Products
Search

This Product

    Resource Access Management:Buat role RAM untuk akun Alibaba Cloud tepercaya

    Document Center

    Resource Access Management:Buat role RAM untuk akun Alibaba Cloud tepercaya

    Last Updated:Mar 13, 2026

    Anda dapat membuat role Resource Access Management (RAM) untuk mendelegasikan izin kepada pengguna dan role di akun Alibaba Cloud tepercaya lainnya. Hal ini memungkinkan Anda memberikan akses lintas akun ke resource Anda tanpa harus berbagi kredensial jangka panjang.

    Prosedur

    1. Masuk ke RAM console sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Roles.

    3. Pada halaman Roles, klik Create Role.

      image

    4. Pada halaman Create Role, atur Principal Type menjadi Cloud Account. Konfigurasikan akun tepercaya dan klik OK.

      imageUntuk Principal Name, pilih salah satu opsi berikut:

      • Current Account: Mengizinkan semua RAM user dan role dalam akun saat ini untuk mengasumsikan role ini.

      • Other Account: Mengizinkan RAM user dan role dari akun Alibaba Cloud lain untuk mengasumsikan role ini. Masukkan ID akun tepercaya tersebut. Anda dapat menemukan ID akun di halaman Security Settings. Untuk informasi lebih lanjut tentang akses lintas akun, lihat Access resources across Alibaba Cloud accounts.

    5. (Opsional) Untuk menyempurnakan kebijakan kepercayaan dan hanya mengizinkan principal tertentu mengasumsikan role ini, klik Switch to Policy Editor.

      Contoh JSON berikut mengubah kebijakan kepercayaan agar hanya RAM user Alice dari akun 100******0719 yang dapat mengasumsikan role tersebut.

      • Visual Editor

        Pada bagian Principal, tentukan RAM user tersebut.

        image

        image

      • JASON Editor

        Pada bidang RAM dari elemen Principal, tentukan RAM user tersebut.

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "RAM": "acs:ram::100******0719:user/Alice"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    6. Pada kotak dialog Create Role, masukkan Role Name dan klik OK.

    Langkah selanjutnya

    1. Grant permissions to the RAM role.

      Role yang baru dibuat tidak memiliki izin apa pun. Anda harus menyambungkan kebijakan izin ke role tersebut sebelum dapat digunakan.

    2. Gunakan RAM role tersebut.

      Principal (RAM user atau role) di akun tepercaya kini dapat mengasumsikan role ini. Mereka dapat melakukannya melalui console atau dengan memanggil operasi API AssumeRole untuk mendapatkan kredensial temporary dari Security Token Service (STS). Kredensial tersebut kemudian dapat digunakan untuk mengakses resource yang telah diizinkan. Untuk informasi lebih lanjut, lihat Assume a RAM role.