All Products
Search
Document Center

Resource Access Management:Buat pasangan AccessKey

Last Updated:Jul 04, 2026

Pasangan AccessKey adalah kredensial jangka panjang untuk akses programatik ke API Alibaba Cloud. Anda dapat membuat pasangan AccessKey untuk Pengguna RAM atau Akun Alibaba Cloud.

Apa itu pasangan AccessKey?

Pasangan AccessKey adalah kredensial jangka panjang yang digunakan Alibaba Cloud untuk mengotentikasi permintaan programatik. Pasangan ini terdiri dari ID AccessKey dan Rahasia AccessKey.

  • AccessKey ID: Identifier publik dan unik untuk pasangan AccessKey Anda.

  • AccessKey secret: Kunci privat yang digunakan untuk menandatangani permintaan API. Signature tersebut memverifikasi keaslian dan integritas permintaan. Anda harus menjaga kerahasiaan AccessKey secret secara ketat.

Penting

Untuk mengurangi risiko kebocoran, AccessKey secret hanya ditampilkan sekali saat pembuatan dan tidak dapat diambil kembali.

Cara menggunakan pasangan AccessKey

Anda menggunakan pasangan AccessKey untuk memanggil API Alibaba Cloud melalui CLI, SDK, atau Terraform.

Alibaba Cloud juga menyediakan alternatif yang lebih aman dengan menggunakan kredensial keamanan sementara (token STS). Untuk kasus penggunaan tertentu, lihat Skenario pengembangan aplikasi.

Jika Anda harus menggunakan pasangan AccessKey, lihat praktik terbaik berikut: Simpan dan gunakan pasangan AccessKey yang tidak dapat dihindari dengan benar.

Cara kerja pasangan AccessKey

Resource Access Management (RAM) menghasilkan ID AccessKey dan Rahasia AccessKey menggunakan algoritma tertentu. Alibaba Cloud mengenkripsi keduanya selama penyimpanan maupun transmisi.

Saat sebuah aplikasi membuat permintaan dengan pasangan AccessKey, permintaan tersebut mencakup ID AccessKey dan signature yang dihasilkan dari Rahasia AccessKey. Alibaba Cloud kemudian mengotentikasi pengirim dan memverifikasi integritas permintaan. Untuk informasi lebih lanjut tentang mekanisme signature yang digunakan Alibaba Cloud, lihat Body permintaan dan mekanisme signature untuk V3.

Jenis AccessKey

Pasangan AccessKey dikategorikan menjadi dua jenis berdasarkan pemiliknya:

  • Pasangan AccessKey Akun Alibaba Cloud (Tidak direkomendasikan)

    Pasangan AccessKey ini dimiliki oleh Akun Alibaba Cloud. Secara default, pasangan ini memiliki izin penuh atas semua resource di bawah akun tersebut. Jika dikompromikan, risiko keamanannya sangat tinggi. Kami sangat menyarankan agar Anda tidak membuat atau menggunakan pasangan AccessKey untuk Akun Alibaba Cloud Anda.

  • Pasangan Kunci Akses Pengguna RAM (Direkomendasikan)

    Pasangan AccessKey ini dimiliki oleh Pengguna RAM. Anda harus membuat Pengguna RAM sebelum dapat membuat pasangan AccessKey untuknya. Pasangan AccessKey Pengguna RAM mewarisi izin pengguna tersebut, sehingga memungkinkan manajemen akses berbasis prinsip least privilege. Sebagai praktik terbaik, tetapkan Pengguna RAM dan pasangan AccessKey terpisah untuk setiap aplikasi independen. Hal ini mencegah pemberian izin berlebihan dan meminimalkan dampak jika kredensial dikompromikan.

Persyaratan izin

Akun Alibaba Cloud memiliki izin yang berlebihan, sehingga hindari menggunakannya untuk membuat pasangan AccessKey di lingkungan produksi. Sebagai gantinya, gunakan Pengguna RAM dengan izin yang sesuai untuk membuat dan mengelola pasangan AccessKey (kecuali yang dimiliki oleh Akun Alibaba Cloud).

  • Anda dapat memberikan kebijakan sistem AliyunRAMFullAccess (administrator RAM) kepada administrator agar mereka dapat membuat dan mengelola pasangan AccessKey untuk Pengguna RAM.

  • Anda juga dapat mengaktifkan opsi Allow users to manage AccessKey di pengaturan keamanan global RAM agar pengguna dapat mengelola pasangan AccessKey mereka sendiri. Untuk informasi lebih lanjut, lihat Kelola pengaturan keamanan untuk Pengguna RAM.

    Catatan

    Mengaktifkan pengaturan ini berarti bahwa semua Pengguna RAM dapat mengelola pasangan AccessKey mereka sendiri, termasuk membuat, menonaktifkan, dan menghapusnya, kecuali administrator menyambungkan kebijakan yang secara eksplisit melarang operasi tersebut.

    Kami tidak merekomendasikan mengaktifkan pengaturan ini di lingkungan produksi. Untuk mengizinkan pengguna tertentu mengelola pasangan AccessKey mereka sendiri, kami menyarankan menggunakan kebijakan kustom dan mengatur elemen Resource ke identitas pengguna tersebut. Lihat contoh kebijakan berikut:

    Buat AccessKey

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "ram:CreateAccessKey",
            "ram:ListAccessKeys"
          ],
          "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME"
        }
      ]
    }

    Kelola AccessKey

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "ram:CreateAccessKey",
            "ram:ListAccessKeys",
            "ram:UpdateAccessKey",
            "ram:DeleteAccessKey",
            "ram:GetAccessKeyLastUsed",
            "ram:ListAccessKeysInRecycleBin"
          ],
          "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME"
        }
      ]
    }

Buat AccessKey untuk Pengguna RAM

Lakukan langkah-langkah berikut sebagai administrator RAM (pengguna dengan kebijakan AliyunRAMFullAccess). Jika Anda belum memiliki Pengguna RAM di akun Anda, lihat Buat Pengguna RAM.

Catatan

Langkah-langkah bagi Pengguna RAM untuk membuat pasangan AccessKey mereka sendiri sama dengan langkah-langkah untuk membuat pasangan AccessKey untuk Akun Alibaba Cloud. Sebelum Pengguna RAM dapat membuat pasangan AccessKey mereka sendiri, pemilik Akun Alibaba Cloud harus mengaktifkan opsi Allow users to manage AccessKey. Jika tidak, Pengguna RAM tidak akan melihat opsi untuk membuat kunci. Untuk informasi lebih lanjut, lihat Kelola pengaturan keamanan untuk Pengguna RAM.

Konsol

  1. Login ke Konsol RAM. Di panel navigasi kiri, pilih Identities > Users.

  2. Dalam daftar pengguna, temukan RAM User dan klik username-nya.

  3. Di tab Credential, pada bagian AccessKey, klik Create AccessKey.

    image

    Catatan

    Setiap Pengguna RAM dapat memiliki maksimal dua pasangan AccessKey. Satu untuk penggunaan aktif, dan satu lagi untuk rotasi.

  4. Pada kotak dialog yang muncul, baca kasus penggunaan dan rekomendasinya. Ikuti rekomendasi tersebut untuk memilih solusi kredensial yang lebih tepat. Jika Anda harus membuat pasangan AccessKey, pilih kasus penggunaan, centang kotak I confirm that it is necessary to create an AccessKey, lalu klik Continue. Kasus penggunaan yang Anda pilih tidak memengaruhi pasangan AccessKey yang dibuat.

    image

  5. Lakukan verifikasi keamanan seperti yang diminta.

  6. Di kotak dialog Create AccessKey, simpan ID AccessKey dan Rahasia AccessKey, lalu klik OK.

    (Opsional) Konfigurasikan kebijakan ACL jaringan AccessKey: Anda dapat membatasi alamat IP sumber permintaan API yang menggunakan pasangan AccessKey ini. Hal ini membantu meningkatkan keamanan dengan memastikan pasangan AccessKey hanya digunakan dari lingkungan jaringan tepercaya. Kami menyarankan Anda mengklik Configure network access policy untuk menentukan lingkungan jaringan tepercaya untuk pasangan AccessKey ini. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan ACL jaringan AccessKey untuk Pengguna RAM.

    Snipaste_2025-12-04_12-07-47

    Penting

    Untuk mengurangi risiko kebocoran, AccessKey secret hanya ditampilkan sekali saat pembuatan dan tidak dapat diambil kembali.

API

Panggil operasi CreateAccessKey dan tentukan parameter berikut:

  • UserPrincipalName: Nama login Pengguna RAM, misalnya test@example.onaliyun.com. Anda dapat menemukan nama login di Konsol RAM.

Penting

Untuk mengurangi risiko kebocoran, AccessKey secret hanya dikembalikan dalam respons operasi CreateAccessKey. Kredensial tersebut tidak dapat diambil kembali.

Buat AccessKey Akun Alibaba Cloud (Tidak direkomendasikan)

Peringatan

Kecuali benar-benar diperlukan, kami sangat menyarankan agar Anda tidak membuat atau menggunakan pasangan AccessKey untuk Akun Alibaba Cloud Anda. Sebelum melanjutkan, evaluasi apakah Anda dapat menggunakan pasangan AccessKey Pengguna RAM sebagai gantinya.

  1. Login ke Konsol Alibaba Cloud menggunakan Akun Alibaba Cloud Anda.

  2. Arahkan kursor ke foto profil Anda di pojok kanan atas dan klik AccessKey.

    image

  3. Di kotak dialog We do not recommend that you use the AccessKey of your Alibaba Cloud account, baca risiko membuat pasangan AccessKey untuk Akun Alibaba Cloud Anda. Jika Anda tetap ingin melanjutkan, centang kotak I am aware of the security risks of using a main account AccessKey., lalu klik Continue to use the AccessKey of my Alibaba Cloud account.

    image

  4. Di halaman AccessKey, klik Create AccessKey.

    image

    Catatan

    Akun Alibaba Cloud dapat memiliki maksimal dua pasangan AccessKey. Satu untuk penggunaan aktif, dan satu lagi untuk rotasi.

  5. Di kotak dialog Create Main Account AccessKey, tinjau kembali risiko dan batasannya. Jika Anda yakin ingin membuat pasangan AccessKey tersebut, centang kotak I am aware of the security risks of using a main account AccessKey., lalu klik Continue to use the AccessKey of my Alibaba Cloud account.

    20251204150912

  6. Di kotak dialog Create AccessKey, simpan ID AccessKey dan Rahasia AccessKey. Kemudian, centang kotak I have saved the AccessKey Secret dan klik OK.

    (Direkomendasikan) Konfigurasikan kebijakan ACL jaringan AccessKey: Anda dapat membatasi alamat IP sumber permintaan API yang menggunakan pasangan AccessKey ini. Hal ini membantu meningkatkan keamanan dengan memastikan pasangan AccessKey hanya digunakan dari lingkungan jaringan tepercaya. Kami menyarankan Anda mengklik Configure network access policy untuk menentukan lingkungan jaringan tepercaya untuk pasangan AccessKey ini. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan ACL jaringan AccessKey untuk Akun Alibaba Cloud.

    image

    Penting

    Untuk mengurangi risiko kebocoran, Rahasia AccessKey untuk Akun Alibaba Cloud hanya ditampilkan saat pembuatan dan tidak dapat diambil kembali.

Referensi