Kelola pengaturan keamanan pengguna RAM - Resource Access Management

Anda dapat mengonfigurasi pengaturan keamanan yang berlaku untuk semua pengguna Resource Access Management (RAM) dalam Akun Alibaba Cloud Anda. Pengaturan ini membantu menetapkan garis dasar keamanan dan meningkatkan postur keamanan keseluruhan akun Anda. Topik ini menjelaskan cara mengonfigurasi kebijakan keamanan umum, pengaturan autentikasi multi-faktor (MFA), dan kebijakan ACL jaringan.

Prosedur

Login ke RAM console menggunakan Akun Alibaba Cloud atau sebagai administrator RAM (misalnya dengan kebijakan AliyunRAMFullAccess).
Pada panel navigasi di sebelah kiri, klik Settings. Pada halaman Settings, konfigurasikan pengaturan Security, MFA, dan Network Access Control.
Catatan
Semua pengaturan berlaku untuk seluruh pengguna RAM dalam akun Anda. Evaluasi risiko secara hati-hati sebelum mengaktifkan pengaturan yang memberikan izin lebih luas kepada pengguna, seperti Allow RAM users to manage their own AccessKey pairs.

Pengaturan keamanan global

Pengaturan ini memungkinkan Anda mengontrol apakah pengguna RAM dapat mengelola kredensial mereka sendiri (seperti kata sandi, perangkat MFA, dan Pasangan Kunci Akses). Anda juga dapat mengonfigurasi kebijakan masa berlaku untuk sesi login dan kredensial yang tidak aktif.

Pada bagian Security, klik Modify, konfigurasikan parameter seperti dijelaskan dalam tabel berikut, lalu klik OK.

Parameter	Deskripsi	Saran konfigurasi
Allow users to manage password	Mengizinkan pengguna RAM mengubah kata sandi login konsol mereka sendiri. Pengaturan ini diaktifkan secara default.	Untuk skenario yang sensitif terhadap keamanan: Nonaktifkan pengaturan ini dan biarkan administrator RAM mengelola siklus hidup kata sandi. Untuk skenario pengembangan agile: Aktifkan pengaturan ini demi kenyamanan pengguna.
Allow users to manage MFA devices	Mengizinkan pengguna RAM melakukan bind atau unbind perangkat MFA mereka sendiri. Pengaturan ini diaktifkan secara default.	Untuk skenario yang sensitif terhadap keamanan: Nonaktifkan pengaturan ini agar administrator mengelola semua penugasan perangkat MFA. Untuk skenario pengembangan agile: Aktifkan pengaturan ini demi kenyamanan pengguna.
Allow users to manage AccessKey	Mengizinkan pengguna RAM mengelola Pasangan Kunci Akses mereka sendiri, termasuk membuat, menonaktifkan, dan menghapusnya. Pengaturan ini dinonaktifkan secara default.	Kami menyarankan agar pengaturan ini tetap dinonaktifkan di lingkungan produksi. Sebagai gantinya, biarkan administrator RAM mengelola AccessKey secara terpusat.
Login session duration	Menentukan periode validitas sesi login konsol pengguna RAM. Satuan: jam. Nilai yang valid: 1 hingga 24. Nilai default adalah 6. Catatan Ketika pengguna beralih ke peran RAM di konsol atau login melalui single sign-on (SSO), durasi sesi tidak boleh melebihi nilai parameter ini. Untuk informasi selengkapnya, lihat Assume a RAM role dan SAML response for role-based SSO.	Untuk menyeimbangkan keamanan dan kenyamanan, kami menyarankan menetapkan nilai ini sesuai durasi hari kerja biasa Anda, misalnya 8 jam.
Allow to keep login session for a long time	Mengizinkan pengguna RAM tetap login ke aplikasi seluler Alibaba Cloud dan klien ECS dalam periode yang diperpanjang (hingga 90 hari). Pengaturan ini dinonaktifkan secara default. Catatan Jika terdeteksi login anomali, sesi jangka panjang tersebut akan langsung dibatalkan, dan pengguna harus login kembali.	Pengaturan ini cocok untuk pengguna yang memerlukan akses jangka panjang untuk mengelola resource dari perangkat seluler atau klien.
Allow users to login with passkey	Mengizinkan pengguna RAM login ke Konsol Manajemen Alibaba Cloud menggunakan passkey. Untuk informasi selengkapnya, lihat What is a passkey? Pengaturan ini diaktifkan secara default.	Kami menyarankan mengaktifkan pengaturan ini untuk meningkatkan keamanan sekaligus kenyamanan pengguna.
Max idle days for users	Menentukan jumlah maksimum hari pengguna RAM dapat tidak aktif sebelum akses konsol mereka (tidak termasuk login SSO) dinonaktifkan secara otomatis. Nilai yang valid: 730 hari, 365 hari, 180 hari, dan 90 hari. Nilai default adalah 365 hari. Waktu efektif: Pengaturan mulai berlaku pada hari berikutnya (UTC+8). Catatan Akses konsol pengguna RAM dinonaktifkan jika kedua kondisi berikut terpenuhi: Pengguna belum login lebih lama dari periode yang ditentukan, atau pengguna dibuat lebih awal dari periode tersebut dan belum pernah login sama sekali. Konfigurasi login pengguna belum diperbarui dalam 7 hari terakhir. Untuk informasi selengkapnya, lihat Manage console logon settings for a RAM user.	Kami menyarankan menetapkan nilai ini menjadi 90 atau 180 hari untuk secara rutin menonaktifkan pengguna RAM yang tidak aktif.
Max idle days for AccessKey	Menentukan jumlah maksimum hari Pasangan Kunci Akses dapat tidak aktif sebelum dinonaktifkan secara otomatis. Ini berlaku untuk Pasangan Kunci Akses baik Akun Alibaba Cloud maupun pengguna RAM. Nilai yang valid: 730 Hari, 365 Hari, 180 Hari, dan 90 Hari. Nilai default adalah 730 hari. Waktu efektif: Pengaturan mulai berlaku pada hari berikutnya (UTC+8). Catatan Pasangan Kunci Akses dinonaktifkan jika kedua kondisi berikut terpenuhi: Pasangan Kunci Akses terakhir digunakan lebih lama dari periode yang ditentukan. Status Pasangan Kunci Akses belum diperbarui dalam 7 hari terakhir.	Kami menyarankan menetapkan nilai ini menjadi 90 hari untuk menonaktifkan Pasangan Kunci Akses yang tidak aktif dan mengurangi risiko kompromi.

Pengaturan MFA

MFA menambahkan lapisan keamanan ekstra untuk login pengguna dan operasi sensitif. Anda dapat mengonfigurasi kebijakan MFA global untuk semua pengguna RAM.

Pada bagian MFA, klik Modify, konfigurasikan parameter seperti dijelaskan dalam tabel berikut, lalu klik OK.

Parameter	Deskripsi
Allowed MFA devices	Menentukan metode MFA yang dapat digunakan pengguna RAM untuk autentikasi sekunder saat login konsol atau melakukan operasi sensitif. MFA Devices: Menggunakan perangkat MFA virtual untuk autentikasi sekunder. Opsi ini diaktifkan secara default dan tidak dapat diubah. Passkey: Menggunakan passkey untuk autentikasi sekunder. Opsi ini diaktifkan secara default dan tidak dapat diubah. Secure Email: Menggunakan alamat email keamanan untuk autentikasi sekunder. Metode ini mengharuskan pengguna terlebih dahulu melakukan bind alamat email ke akun mereka. Catatan Metode Security Email hanya dapat digunakan untuk autentikasi sekunder selama operasi sensitif, bukan untuk login konsol. Semua opsi diaktifkan secara default.
MFA for RAM user sign-in	Menentukan apakah MFA wajib digunakan ketika pengguna RAM login ke konsol dengan username dan password. Force all users: Mewajibkan MFA untuk semua pengguna RAM saat login. Catatan Jika Anda memilih Force for all users, otentikasi sekunder untuk operasi sensitif akan diaktifkan secara otomatis untuk semua pengguna RAM. Depend on each user: Mengikuti konfigurasi MFA masing-masing pengguna RAM. Untuk informasi selengkapnya, lihat Manage console logon settings for a RAM user. Only when sign-in abnormally: Mewajibkan MFA hanya ketika login dianggap anomali, seperti login dari lokasi atau perangkat baru. Untuk kasus lainnya, MFA tidak diperlukan. Catatan Jika Anda menggunakan kunci kondisi `acs:MFAPresent` dalam kebijakan RAM, menyetel parameter ini ke Only when sign-in abnormally akan menyebabkan kondisi gagal divalidasi selama login normal. Untuk memastikan kebijakan Anda berfungsi sebagaimana mestinya, setel parameter ini ke Depend on each user sebagai gantinya. Pengaturan default adalah Force for all users.
Allow to remember MFA validation for 7 days	Jika diaktifkan, pengguna dapat memilih agar status MFA mereka diingat pada perangkat tertentu selama 7 hari. Status yang diingat ini akan dibatalkan jika pengguna logout atau login sebagai pengguna RAM berbeda pada perangkat yang sama. Pengaturan ini dinonaktifkan secara default.

Kebijakan ACL jaringan

Kebijakan ACL jaringan memungkinkan Anda membatasi lokasi tempat pengguna RAM dapat login atau melakukan panggilan API, berdasarkan Alamat IPv4 sumber mereka.

Penting

Sebelum mengonfigurasi Network Access Control, Anda harus menambahkan Alamat IPv4 stabil dan tepercaya (seperti IP egress jaringan kantor Anda) ke daftar izin. Hal ini memastikan Anda memiliki jalur akses darurat jika kesalahan konfigurasi memblokir semua pengguna, termasuk Anda sendiri.
Jika pengguna RAM diblokir oleh pembatasan IP, administrator RAM dapat login menggunakan Akun Alibaba Cloud untuk memodifikasi mask login.

Pada bagian Network Access Control, konfigurasikan parameter seperti dijelaskan dalam tabel berikut, lalu klik OK.

Parameter

Deskripsi

Allowed network address while sign-in

Menentukan daftar izin Alamat IPv4 tempat pengguna dapat login ke konsol menggunakan password atau melalui SSO. Jika dibiarkan kosong, login diizinkan dari alamat IP mana pun.

Format: Pisahkan beberapa alamat IP dengan spasi, koma (,), atau titik koma (;).

Batas: Anda dapat menentukan hingga 200 alamat IP.

Allowed source network address while calling APIs by AccessKey

Menentukan daftar izin alamat IP tempat panggilan API dapat dilakukan. Ini merupakan kebijakan tingkat akun yang berlaku untuk semua Pasangan Kunci Akses. Jika dibiarkan kosong, panggilan API diizinkan dari alamat IP mana pun.
Anda juga dapat menetapkan kebijakan yang lebih spesifik untuk satu Pasangan Kunci Akses tertentu. Kebijakan tingkat Pasangan Kunci Akses selalu menggantikan kebijakan tingkat akun ini. Untuk informasi selengkapnya, lihat Use network ACL policies to restrict AccessKey pair usage.