Topik ini menjelaskan apa itu AccessKey pair dan cara membuatnya untuk Resource Access Management (RAM) user atau akun Alibaba Cloud.
Apa itu AccessKey pair?
AccessKey pair adalah kredensial keamanan jangka panjang yang disediakan oleh Alibaba Cloud untuk pengguna. Sebuah AccessKey pair terdiri dari AccessKey ID dan AccessKey secret.
AccessKey ID: Pengidentifikasi publik yang unik untuk AccessKey pair.
AccessKey secret: Kunci rahasia dari AccessKey pair yang digunakan untuk menandatangani permintaan API guna memverifikasi autentisitas dan integritasnya. Anda harus menjaga kerahasiaan AccessKey secret Anda dengan sangat ketat.
Untuk meminimalkan risiko kebocoran, AccessKey secret hanya ditampilkan satu kali, yaitu saat dibuat. Anda tidak dapat mendapatkannya kembali di kemudian hari, jadi pastikan Anda menyimpannya secara aman.
Cara menggunakan AccessKey pair
Anda tidak dapat menggunakan AccessKey pair untuk masuk ke konsol. Sebaliknya, Anda dapat menggunakannya untuk melakukan panggilan terprogram ke API Alibaba Cloud melalui tool seperti command-line interface (CLI), software development kit (SDK), atau Terraform.
Sebagai praktik terbaik, hindari penggunaan AccessKey pair secara langsung untuk mengakses resource Alibaba Cloud jika memungkinkan. Alibaba Cloud menyediakan berbagai solusi yang tidak memerlukan AccessKey pair, yang memungkinkan Anda menggunakan kredensial sementara yang lebih aman, seperti token Security Token Service (STS), untuk mengakses resource. Untuk use case spesifik, lihat Kapan saya perlu menggunakan RAM?.
Jika Anda harus membuat dan menggunakan AccessKey pair, lihat praktik terbaik penggunaannya di Praktik terbaik untuk management identitas dan akses.
Cara kerja AccessKey pair
RAM menghasilkan AccessKey ID dan AccessKey secret menggunakan algoritma spesifik. Kredensial ini dienkripsi selama penyimpanan maupun transmisi.
Saat aplikasi menggunakan AccessKey pair untuk membuat permintaan, permintaan tersebut menyertakan AccessKey ID dan sebuah signature. Signature ini dihitung dengan menggunakan AccessKey secret untuk menandatangani permintaan. Saat menerima permintaan tersebut, Alibaba Cloud akan memverifikasi identitas pemohon dan memastikan permintaan tersebut sah. Untuk informasi lebih lanjut tentang mekanisme signature spesifik yang digunakan Alibaba Cloud, lihat Sintaksis request dan metode signature V3.
Kategori AccessKey pair
AccessKey pair dapat dimiliki oleh akun Alibaba Cloud atau RAM user dan dikategorikan berdasarkan pemiliknya:
AccessKey pair akun Alibaba Cloud (Tidak disarankan)
Tipe AccessKey pair ini dibuat langsung oleh akun Alibaba Cloud. Secara default, pasangan ini memiliki permission penuh atas semua resource di dalam akun dan dapat melakukan operasi apa pun. Kebocoran AccessKey pair akun menimbulkan risiko keamanan yang sangat tinggi. Kami sangat menyarankan Anda untuk tidak membuat atau menggunakan AccessKey pair untuk akun Alibaba Cloud Anda.
AccessKey pair RAM user (Disarankan)
Kredensial akses terprogram untuk RAM user. Anda harus membuat RAM user terlebih dahulu sebelum dapat membuat AccessKey pair untuknya. AccessKey pair milik pengguna RAM memiliki izin yang sama dengan pengguna tersebut, sehingga memungkinkan penerapan principle of least privilege. Kami menyarankan Anda untuk membuat RAM user dan AccessKey pair terpisah bagi setiap aplikasi bisnis yang independen. Praktik ini membantu mencegah pemberian izin yang berlebihan serta mengurangi risiko kebocoran akibat berbagi kredensial.
Persyaratan izin
Karena akun Alibaba Cloud memiliki akses penuh ke semua resource, sebaiknya jangan menggunakannya untuk membuat AccessKey pair di environment produksi. Sebaliknya, dan sesuai praktik terbaik, gunakan RAM user yang hanya diberi permission yang diperlukan untuk membuat dan mengelola AccessKey pair bagi RAM user lain.
Anda dapat me-attach kebijakan sistem
AliyunRAMFullAccesske administrator agar mereka dapat membuat dan mengelola AccessKey pair bagi RAM user.Anda juga dapat mengizinkan RAM user untuk mengelola AccessKey pair mereka sendiri dengan mengaktifkan opsi Allow users to manage their own AccessKeys di pengaturan keamanan global RAM. Untuk informasi lebih lanjut, lihat Mengelola pengaturan keamanan untuk RAM user.
CatatanMengaktifkan pengaturan ini memungkinkan semua RAM user untuk me-manage AccessKey pair mereka sendiri. Hal ini mencakup semua operasi terkait, seperti membuat, menonaktifkan, dan menghapus AccessKey pair, kecuali jika administrator me-attach kebijakan yang secara eksplisit menolak operasi-operasi ini.
Kami tidak menyarankan untuk mengaktifkan pengaturan ini di lingkungan produksi. Untuk mengizinkan RAM user spesifik agar dapat mengelola AccessKey pair mereka sendiri, kami menyarankan Anda untuk menggunakan kebijakan kustom dan mengatur elemen
Resourcedalam kebijakan tersebut ke Alibaba Cloud Resource Name (ARN) milik user itu sendiri. Contoh kebijakan berikut dapat Anda gunakan sebagai referensi:Mengizinkan RAM user membuat AccessKey pair mereka sendiri
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }Mengizinkan RAM user mengelola AccessKey pair mereka sendiri
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys", "ram:UpdateAccessKey", "ram:DeleteAccessKey", "ram:GetAccessKeyLastUsed", "ram:ListAccessKeysInRecycleBin" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }
Membuat AccessKey pair untuk RAM user
Administrator RAM (user dengan kebijakan AliyunRAMFullAccess yang di-attach) dapat melakukan operasi berikut. Jika Anda belum memiliki RAM user di dalam akun, Buat satu terlebih dahulu.
Konsol
Masuk ke konsol RAM. Di panel navigasi sebelah kiri, pilih .
Temukan RAM user yang dituju, lalu klik username-nya.
Pada tab Authentication, di bagian AccessKey, klik Create AccessKey.
CatatanSetiap RAM user dapat memiliki maksimal dua AccessKey pair. Satu untuk penggunaan reguler dan satu lagi untuk rotasi guna menggantikan yang lama.
Di kotak dialog yang muncul, tinjau skenario dan saran penggunaan AccessKey pair. Kami menyarankan Anda memilih solusi kredensial yang lebih sesuai. Jika Anda harus membuat AccessKey pair, pilih skenario, centang I confirm that I must create an AccessKey, lalu klik Continue to Create. Pilihan ini hanya untuk tujuan pengumpulan data dan tidak memengaruhi permission atau properti dari AccessKey pair yang dibuat.
Selesaikan verifikasi keamanan sesuai petunjuk.
Di kotak dialog Create AccessKey, simpan AccessKey ID dan AccessKey secret, lalu klik OK.
(Opsional) Configure AccessKey Network Access Control: Anda dapat membatasi alamat IP sumber untuk permintaan API yang menggunakan AccessKey pair. Hal ini akan meningkatkan keamanan dengan membatasi akses AccessKey pair hanya untuk lingkungan jaringan tepercaya. Kami menyarankan Anda mengidentifikasi lingkungan jaringan tempat AccessKey pair akan digunakan, lalu klik Go to Settings. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan pembatasan akses jaringan tingkat AccessKey untuk RAM user.
PentingUntuk meminimalkan risiko kebocoran, AccessKey secret hanya ditampilkan saat dibuat. Anda tidak dapat mendapatkannya kembali di kemudian hari, jadi pastikan Anda menyimpannya secara aman.
API
Panggil operasi CreateAccessKey untuk membuat AccessKey pair dan tentukan parameter berikut:
UserPrincipalName: Nama login dari RAM user yang akan memiliki AccessKey pair. Formatnya adalah test@example.onaliyun.com. Anda dapat menemukan nama login RAM user di konsol RAM.
Untuk mengurangi risiko kebocoran, AccessKey secret hanya ditampilkan saat Anda memanggil operasi CreateAccessKey. Anda tidak dapat mendapatkannya kembali di kemudian hari, jadi pastikan Anda menyimpannya secara aman.
Membuat AccessKey pair untuk akun Alibaba Cloud (Tidak disarankan)
Kecuali diperlukan secara eksplisit, kami sangat menyarankan agar Anda tidak membuat atau menggunakan AccessKey pair untuk akun Alibaba Cloud utama Anda. Sebelum melanjutkan, pertimbangkan penggunaan AccessKey pair milik pengguna RAM sebagai alternatif.
Masuk ke konsol RAM menggunakan Akun Alibaba Cloud Anda.
Arahkan kursor ke foto profil Anda di pojok kanan atas, lalu klik AccessKey.
Di kotak dialog Main Account AccessKey is not recommended, tinjau risiko pembuatan AccessKey pair untuk akun Alibaba Cloud Anda. Untuk melanjutkan, centang I am aware of the security risks of using a main account AccessKey, lalu klik Use Main Account AccessKey.
Pada halaman AccessKey Management, klik Create AccessKey.
CatatanSebuah akun Alibaba Cloud dapat memiliki maksimal dua AccessKey pair. Satu untuk penggunaan reguler dan satu lagi untuk rotasi guna menggantikan yang lama.
Di kotak dialog Create AccessKey for Alibaba Cloud Account, tinjau kembali risiko dan batasan keamanan. Untuk membuat AccessKey pair, centang I am aware of the security risks of using a main account AccessKey, lalu klik Use Main Account AccessKey.
Di kotak dialog Create AccessKey, simpan AccessKey ID dan AccessKey secret, centang I have saved the AccessKey Secret, lalu klik OK.
(Opsional) Configure AccessKey Network Access Control: Anda dapat membatasi alamat IP sumber untuk permintaan API yang menggunakan AccessKey pair. Hal ini akan meningkatkan keamanan dengan membatasi akses AccessKey pair hanya untuk lingkungan jaringan tepercaya. Kami menyarankan Anda mengidentifikasi lingkungan jaringan tempat AccessKey pair akan digunakan, lalu klik Go to Settings. Untuk informasi lebih lanjut, lihat Konfigurasi kebijakan pembatasan akses jaringan level AccessKey untuk RAM user.
PentingUntuk meminimalkan risiko kebocoran, AccessKey secret dari akun Alibaba Cloud hanya ditampilkan saat dibuat. Anda tidak dapat mendapatkannya kembali di kemudian hari, jadi pastikan Anda menyimpannya secara aman.