Resource Access Management：Buat pengguna RAM

Konsol

1. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud atau akun administrator RAM Anda (misalnya dengan kebijakan AliyunRAMFullAccess).

2. Pada panel navigasi sebelah kiri, pilih Identity > Users.

3. Pada halaman Users, klik Create User.

4. Pada bagian User Account Information di halaman Create User, konfigurasikan informasi dasar pengguna.

   • Logon Name (wajib): Nama logon dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_). Panjangnya maksimal 64 karakter.

   • Display Name (opsional): Nama tampilan dapat memiliki panjang hingga 128 karakter.

   • Tag (opsional): Klik ikon dan masukkan kunci tag serta nilai tag. Tag membantu Anda mengkategorikan dan mengelola pengguna RAM.

   Catatan

   Klik Add User untuk membuat beberapa pengguna RAM sekaligus.

5. Pada bagian Access Mode, pilih mode akses sesuai jenis pengguna.

   Penting

   • Sebagai praktik keamanan terbaik, kami menyarankan agar Anda hanya memilih satu mode akses per pengguna. Hal ini menciptakan pemisahan yang jelas antara pengguna manusia yang memerlukan akses konsol dan aplikasi yang memerlukan akses programatik.

   • Pasangan AccessKey adalah kredensial jangka panjang untuk akses programatik. Jika AccessKey bocor, keamanan seluruh sumber daya dalam akun Anda berisiko. Kami menyarankan agar Anda menggunakan token Security Token Service (STS) sebagai kredensial sementara untuk mengurangi risiko kebocoran kredensial. Untuk informasi lebih lanjut, lihat Praktik terbaik penggunaan kredensial akses untuk memanggil operasi API.

   Console access

   Untuk pengguna manusia, seperti karyawan, pilih Console Access.

   • Set Logon Password: Pilih salah satu opsi kata sandi berikut:

     • Automatically Regenerate Default Password

     • Reset Custom Password. Kata sandi kustom Anda harus memenuhi persyaratan kompleksitas kata sandi.

       Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kata sandi untuk pengguna RAM.

   • Password Reset: Menentukan apakah pengguna RAM harus mengatur ulang kata sandi pada saat login berikutnya.

   • Enable MFA: Secara default, autentikasi multi-faktor (MFA) wajib digunakan saat login. Untuk mengubah pengaturan ini, lihat Kelola pengaturan keamanan pengguna RAM. Pengguna RAM harus melakukan bind perangkat MFA pada login pertama mereka. Untuk informasi lebih lanjut, lihat Bind perangkat MFA ke pengguna RAM.

   Programmatic access

   Untuk aplikasi atau sistem, pilih Using permanent AccessKey to access.

   Setelah Anda mengaktifkan opsi ini, sistem secara otomatis membuat ID AccessKey dan Rahasia AccessKey untuk pengguna RAM tersebut.

   Penting

   Rahasia AccessKey hanya ditampilkan sekali saat pembuatan dan tidak dapat diambil kembali nanti. Ini adalah satu-satunya kesempatan Anda untuk melihat dan menyimpan rahasia tersebut. Anda harus segera menyalin dan menyimpan rahasia tersebut ke lokasi yang aman atau mengklik Download CSV File untuk mengunduh file tersebut. Jika pasangan AccessKey bocor, keamanan seluruh sumber daya dalam akun Anda akan terganggu. Untuk informasi lebih lanjut, lihat Buat pasangan AccessKey.

OpenAPI

Buat pengguna RAM untuk akses konsol

1. Panggil GetDefaultDomain untuk mendapatkan nama domain default akun Anda. Formatnya adalah <AccountAlias>.onaliyun.com.

2. Panggil CreateUser untuk membuat pengguna RAM. Parameter yang diperlukan adalah sebagai berikut:

   1. UserPrincipalName: Nama logon pengguna RAM. Formatnya adalah <username>@<AccountAlias>.onaliyun.com. <username> adalah nama pengguna RAM, dan <AccountAlias>.onaliyun.com adalah nama domain default.

   2. DisplayName: Nama tampilan pengguna RAM. Nilainya dapat berbeda dari <username>.

3. Panggil CreateLoginProfile untuk membuat profil login pengguna, yang mengaktifkan akses konsol. Pengaturan yang disarankan untuk beberapa parameter adalah sebagai berikut:

   1. UserPrincipalName: Nama logon pengguna RAM yang telah Anda buat pada langkah sebelumnya.

   2. Password: Tetapkan kata sandi yang memenuhi persyaratan kompleksitas kata sandi akun Anda. Anda dapat memanggil GetPasswordPolicy untuk menanyakan kebijakan kata sandi pengguna RAM.

   3. MFABindRequired: Kami menyarankan agar Anda mewajibkan MFA untuk pengguna RAM. Untuk melakukannya, atur parameter ini ke true.

   4. Status: Menentukan apakah login berbasis kata sandi ke konsol diaktifkan. Pertahankan nilai default Active.

Buat pengguna RAM untuk akses programatik

1. Panggil GetDefaultDomain untuk mendapatkan nama domain default akun Anda dalam format <AccountAlias>.onaliyun.com.

2. Panggil CreateUser untuk membuat pengguna RAM. Parameter yang diperlukan adalah sebagai berikut:

   1. UserPrincipalName: Nama logon pengguna RAM. Formatnya adalah <username>@<AccountAlias>.onaliyun.com. <username> adalah nama pengguna RAM, dan <AccountAlias>.onaliyun.com adalah nama domain default.

   2. DisplayName: Nama tampilan pengguna RAM. Nilainya dapat berbeda dari <username>.

3. Panggil CreateAccessKey untuk membuat pasangan AccessKey. Untuk membuat pasangan AccessKey, Anda hanya perlu menentukan UserPrincipalName untuk pengguna RAM yang telah Anda buat pada langkah sebelumnya.

   Penting

   Operasi API CreateAccessKey mengembalikan ID AccessKey dan Rahasia AccessKey. Ini adalah satu-satunya kesempatan Anda untuk melihat dan menyimpan rahasia tersebut. Anda harus segera menyalin dan menyimpannya di lokasi yang aman. Jika pasangan AccessKey bocor, keamanan seluruh sumber daya dalam akun Anda akan terganggu. Untuk informasi lebih lanjut, lihat Buat AccessKey.