Kebijakan kepercayaan (trust policy) sebuah role Resource Access Management (RAM) menentukan pihak-pihak yang berwenang (principal)—yaitu pengguna RAM, role lain, atau layanan—yang diizinkan untuk mengasumsikan role tersebut. Anda dapat mengubah kebijakan ini untuk mengatur siapa saja yang dapat mengasumsikan role tersebut. Topik ini menyediakan contoh pengaturan principal menjadi Akun Alibaba Cloud, layanan Alibaba Cloud, atau penyedia identitas (IdP).
Informasi latar belakang
Saat membuat role RAM, Anda harus menentukan principal-nya dalam kebijakan kepercayaan. Meskipun biasanya tidak perlu mengubah kebijakan ini setelah pembuatan, terkadang Anda perlu memperbaruinya untuk memberikan atau mencabut izin asumsi role.
Perubahan pada kebijakan kepercayaan role dapat berdampak signifikan terhadap aplikasi Anda. Principal yang dihapus dari kebijakan akan kehilangan kemampuan untuk mengasumsikan role tersebut, yang dapat menyebabkan gangguan layanan. Kami menyarankan Anda menguji semua perubahan di lingkungan non-produksi sebelum menerapkannya di lingkungan produksi.
Prosedur
Masuk ke Konsol RAM sebagai administrator RAM.
Pada panel navigasi sebelah kiri, pilih .
Pada halaman Roles, klik nama role RAM yang dituju.
Pada tab Trust Policy, klik Edit Trust Policy.
Di editor kode, ubah dokumen kebijakan JSON dan klik OK.
Contoh 1: Ubah entitas tepercaya role RAM menjadi Akun Alibaba Cloud
Untuk mengizinkan principal dalam Akun Alibaba Cloud mengasumsikan role, tentukan kunci RAM pada elemen Principal. Anda dapat menentukan seluruh akun, pengguna RAM tertentu, atau role RAM lainnya.
Untuk mengizinkan semua pengguna dan role RAM dalam suatu akun mengasumsikan role
Kebijakan berikut mengizinkan pengguna atau role RAM mana pun dalam akun 123456789012**** untuk mengasumsikan role tersebut.
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::123456789012****:root" ] } } ], "Version": "1" }Untuk mengizinkan hanya pengguna RAM tertentu mengasumsikan role
Contoh ini hanya mengizinkan pengguna RAM bernama
testuserdalam akun 123456789012**** untuk mengasumsikan role tersebut."Principal": { "RAM": [ "acs:ram::123456789012****:user/testuser" ] }CatatanSebelum mengedit kebijakan kepercayaan, pastikan pengguna RAM bernama
testusertelah dibuat.Untuk mengizinkan hanya role RAM tertentu mengasumsikan role
Contoh ini hanya mengizinkan role RAM bernama
testroledalam akun 123456789012**** untuk mengasumsikan role tersebut."Principal": { "RAM": [ "acs:ram::123456789012****:role/testrole" ] }CatatanSebelum mengedit kebijakan kepercayaan, pastikan role RAM bernama
testroletelah dibuat.
Contoh 2: Ubah entitas tepercaya role RAM menjadi layanan Alibaba Cloud
Untuk mengizinkan layanan Alibaba Cloud mengasumsikan role atas nama Anda, tentukan nama principal layanan (misalnya ecs.aliyuncs.com) pada kunci Service dalam elemen Principal.
Kebijakan berikut mengizinkan Elastic Compute Service (ECS) untuk mengasumsikan role tersebut.
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"ecs.aliyuncs.com"
]
}
}
],
"Version": "1"
}Anda tidak dapat mengedit kebijakan kepercayaan role yang terkait layanan (service-linked role). Kebijakan tersebut telah ditentukan sebelumnya dan dikelola oleh layanan Alibaba Cloud yang terkait. Untuk informasi lebih lanjut, lihat Service-linked roles.
Contoh 3: Ubah entitas tepercaya role RAM menjadi IdP
Untuk mengizinkan pengguna dari IdP mengasumsikan role, tentukan Nama Sumber Daya Alibaba Cloud (ARN) penyedia SAML atau OIDC pada kunci Federated dalam elemen Principal.
Kebijakan berikut mengizinkan pengguna yang difederasi dari penyedia SAML testprovider dalam akun 123456789012**** untuk mengasumsikan role tersebut.
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Federated": [
"acs:ram::123456789012****:saml-provider/testprovider"
]
},
"Condition":{
"StringEquals":{
"saml:recipient":"https://signin.alibabacloud.com/saml-role/sso"
}
}
}
],
"Version": "1"
}