全部产品
Search

搜索本产品

    Resource Access Management:Kelola izin untuk peran RAM

    文档中心

    Resource Access Management:Kelola izin untuk peran RAM

    更新时间:Feb 07, 2026

    Anda mengontrol izin untuk peran RAM dengan menyambungkan dan melepas kebijakan. Kebijakan menentukan aksi yang diizinkan atau ditolak bagi peran tersebut. Topik ini menjelaskan cara menyambungkan, melihat, dan melepas kebijakan untuk peran RAM.

    Batasan

    • Anda tidak dapat mengubah izin dari service-linked role. Izinnya telah ditentukan sebelumnya oleh layanan Alibaba Cloud terkait dan tidak dapat diubah.

    • Peran RAM hanya dapat memiliki jumlah kebijakan terbatas yang disambungkan. Batasan ini mencakup kebijakan sistem maupun kebijakan kustom. Untuk kuota spesifik, lihat Batasan.

    Berikan izin kepada peran RAM

    Konsol

    Untuk melakukan langkah-langkah berikut, Anda harus masuk sebagai Pemilik Alibaba Cloud atau administrator RAM (Pengguna RAM dengan kebijakan AliyunRAMFullAccess yang disambungkan).

    Anda dapat memberikan izin baik dari halaman Roles maupun halaman Grants. Pilih metode yang paling sesuai dengan alur kerja Anda.

    Metode

    Kasus penggunaan

    Operasi batch

    Dari halaman Roles

    Menyambungkan satu atau beberapa kebijakan ke satu atau beberapa peran.

    Ya

    Dari halaman Grants

    Menyambungkan kebijakan ke beberapa identitas berbeda (Pengguna RAM, kelompok, dan peran) secara bersamaan.

    Ya

    Metode 1: Menggunakan halaman Roles

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Roles.

    3. Di halaman Roles, temukan peran RAM target lalu klik Attach Policy pada kolom Actions.

      image

      Untuk memberikan izin ke beberapa peran sekaligus, centang kotak peran yang diinginkan lalu klik Attach Policy di bagian bawah daftar.

    4. Di panel Grant Permission, konfigurasikan pengaturan berikut.

      1. Di bawah Resource Scope, pilih cakupan izin.

        • Account: Izin berlaku untuk semua resource dalam akun saat ini.

        • Resource Group: Izin hanya berlaku untuk resource dalam kelompok sumber daya tertentu.

          Catatan

          Opsi ini hanya berlaku untuk layanan yang mendukung kelompok sumber daya. Untuk daftar layanan yang didukung, lihat Layanan yang kompatibel dengan Resource Group.

      2. Di bawah Principal, pilih peran RAM yang akan diberikan izin.

        Sistem secara otomatis memilih peran RAM saat ini.

      3. Di bawah Policy, cari dan pilih kebijakan yang ingin disambungkan.

        Anda dapat memilih beberapa kebijakan sistem dan kebijakan kustom.

        • Kebijakan sistem: Kebijakan ini dibuat dan dikelola oleh Alibaba Cloud. Anda dapat menggunakan kebijakan ini tetapi tidak dapat mengubahnya. Untuk informasi lebih lanjut, lihat bagian Cloud Services and System Policies dalam topik Layanan Alibaba Cloud yang mendukung RAM.

          Catatan

          Konsol menyorot kebijakan berisiko tinggi seperti AdministratorAccess dan AliyunRAMFullAccess. Sebagai praktik terbaik, berikan hanya izin yang diperlukan dan hindari penggunaan kebijakan yang terlalu permisif.

        • Kebijakan kustom: Ini adalah kebijakan yang Anda buat dan kelola sendiri. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom, lihat Buat kebijakan kustom.

      4. Klik Confirm Add Authorization.

    5. Klik Close.

    Metode 2: Menggunakan halaman Grants

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Permissions > Grants.

    3. Di halaman Permission, klik Grant Permission.

      image

    4. Di panel Grant Permission, berikan izin kepada peran RAM.

      1. Konfigurasikan parameter Resource Scope.

        • Account: Otorisasi berlaku pada Akun Alibaba Cloud saat ini.

        • Resource Group: Otorisasi berlaku pada kelompok sumber daya tertentu.

          Catatan

          Agar otorisasi berbasis kelompok sumber daya berlaku, layanan Alibaba Cloud dan tipe resource yang ditentukan harus mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Layanan yang mendukung kelompok sumber daya.

      2. Pilih entitas otorisasi.

        Principal adalah peran RAM yang akan diberikan izin. Anda dapat memilih beberapa peran RAM sekaligus.

      3. Pilih kebijakan akses.

        Kebijakan akses adalah kumpulan izin akses. Anda dapat memilih beberapa kebijakan akses.

        • Kebijakan sistem: Kebijakan ini dibuat dan dikelola oleh Alibaba Cloud. Anda dapat menggunakan kebijakan ini tetapi tidak dapat mengubahnya. Untuk informasi lebih lanjut, lihat bagian Cloud Services and System Policies dalam Layanan Alibaba Cloud yang mendukung RAM.

          Catatan

          Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Saat memberikan izin, hindari pemberian kebijakan akses berisiko tinggi yang tidak diperlukan.

        • Kebijakan kustom: Ini adalah kebijakan yang dapat Anda buat, perbarui, dan hapus. Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom, lihat Buat kebijakan izin kustom.

      4. Klik Grant permissions.

    5. Klik Close.

    API

    Panggil operasi AttachPolicyToRole untuk menyambungkan kebijakan izin ke peran. Anda harus menentukan parameter berikut:

    • PolicyType: Jenis kebijakan akses. Tetapkan nilai ke System untuk kebijakan sistem atau Custom untuk kebijakan kustom. Parameter ini peka terhadap huruf besar/kecil.

    • PolicyName: Nama kebijakan akses.

    • RoleName: Nama peran RAM.

    Catatan

    Operasi AttachPolicyToRole memberikan izin pada tingkat akun. Untuk memberikan izin yang dibatasi pada kelompok sumber daya melalui API, Anda harus menggunakan operasi AttachPolicy dari API Resource Management.

    Lihat izin untuk peran RAM

    Berikan kebijakan sistem AliyunRAMReadOnlyAccess kepada operator.

    Konsol

    1. Anda dapat masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identity Management > Roles.

    3. Di halaman Roles, klik nama peran RAM target.

    4. Klik tab Permissions. Kebijakan yang disambungkan ke peran tersebut akan ditampilkan dalam daftar kebijakan.

    API

    Panggil operasi ListPoliciesForRole untuk menampilkan daftar kebijakan yang disambungkan ke peran.

    Anda harus menentukan parameter RoleName.

    Hapus izin dari peran RAM

    Untuk melakukan langkah-langkah berikut, Anda harus memiliki izin setara dengan kebijakan AliyunRAMFullAccess. Mencabut izin akan melepas kebijakan dari peran tetapi tidak menghapus kebijakan itu sendiri.

    Konsol

    Anda dapat menghapus izin dari peran RAM dengan salah satu cara berikut.

    Dari halaman Roles

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identity Management > Roles.

    3. Di halaman Roles, klik nama peran RAM target.

    4. Di tab Permission Management, klik Revoke pada kolom Actions untuk kebijakan izin target.

      Untuk mencabut beberapa izin sekaligus dari peran RAM, Anda dapat memilih beberapa kebijakan izin lalu klik Revoke di bawah daftar kebijakan izin.

    5. Di kotak dialog Revoke, klik Revoke.

    Dari halaman Grants

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Permission Management > Authorization.

    3. Di halaman Authorization, klik Revoke Authorization pada kolom Actions untuk peran RAM target.

      Untuk melepas beberapa kebijakan sekaligus, centang kotak kebijakan yang diinginkan lalu klik Remove di bagian bawah daftar.

    4. Di kotak dialog Revoke, klik Revoke.

    API

    Panggil operasi DetachPolicyFromRole untuk melepas kebijakan dari peran.

    • PolicyType: Jenis kebijakan izin yang akan dihapus. Gunakan System untuk kebijakan sistem atau Custom untuk kebijakan kustom. Nilai ini peka terhadap huruf besar/kecil.

    • PolicyName: Nama persis dari kebijakan izin yang akan dihapus.

    • RoleName: Nama peran RAM.