Tema ini memperkenalkan konsep dasar terkait pengaturan keamanan di Konsol Resource Access Management (RAM).
kata sandi
Kredensial identitas yang digunakan untuk masuk ke Konsol Manajemen Alibaba Cloud.
Disarankan untuk mengubah kata sandi secara berkala dan menjaga kerahasiaannya.
Untuk informasi lebih lanjut tentang cara mengonfigurasi kata sandi logon, lihat Ubah Kata Sandi Logon Pengguna RAM.
nama domain default
Nama domain default adalah pengenal unik dari akun Alibaba Cloud. Setiap akun Alibaba Cloud diberikan nama domain default dengan format <AccountAlias>.onaliyun.com. Nama domain default dapat digunakan untuk logon pengguna RAM dan manajemen Single Sign-On (SSO).
Untuk informasi lebih lanjut, lihat Lihat dan Ubah Nama Domain Default.
alias domain
Nama domain kustom yang dapat digunakan untuk menggantikan nama domain default. Nama domain kustom harus dapat diselesaikan secara publik dan berfungsi sebagai alias dari nama domain default.
Nama domain kustom hanya dapat digunakan sebagai alias domain setelah kepemilikannya diverifikasi. Setelah verifikasi selesai, Anda dapat menggunakan alias domain untuk menggantikan nama domain default di semua skenario yang memerlukannya.
Untuk informasi lebih lanjut, lihat Buat dan Verifikasi Alias Domain.
Pasangan AccessKey
Kredensial identitas yang digunakan untuk memverifikasi identitas akses. Setiap pasangan AccessKey terdiri dari ID AccessKey dan Rahasia AccessKey. Saat mengirim permintaan API, ID AccessKey dan Rahasia AccessKey digunakan untuk enkripsi simetris dan verifikasi identitas. Setelah identitas diverifikasi, Anda dapat mengelola sumber daya Alibaba Cloud dengan memanggil operasi.
ID AccessKey digunakan untuk mengidentifikasi pengguna, sedangkan Rahasia AccessKey digunakan untuk mengenkripsi dan memverifikasi string tanda tangan.
Rahasia AccessKey hanya ditampilkan saat pembuatan pasangan AccessKey dan tidak tersedia untuk kueri berikutnya. Disarankan untuk menyimpan Rahasia AccessKey untuk penggunaan selanjutnya.
Untuk informasi lebih lanjut, lihat Buat Pasangan AccessKey.
otentikasi multi-faktor (MFA)
MFA adalah model otentikasi yang mudah digunakan dan efektif sebagai pelengkap untuk otentikasi nama pengguna dan kata sandi. MFA memberikan lapisan perlindungan tambahan dengan memverifikasi pengguna yang memulai logon konsol atau melakukan operasi sensitif, sehingga meningkatkan keamanan akun Anda. Bagian berikut menjelaskan metode MFA yang didukung oleh pengguna RAM serta catatan penggunaan dan batasannya.
Metode MFA
Metode MFA | Deskripsi | Skenario | Referensi |
Perangkat MFA virtual | Algoritma sandi sekali pakai berbasis waktu (TOTP) adalah protokol otentikasi multi-faktor yang banyak digunakan. Aplikasi yang mendukung TOTP pada perangkat seperti ponsel disebut perangkat MFA virtual. Sebagai contoh, aplikasi Alibaba Cloud dan Google Authenticator adalah perangkat MFA virtual. Jika Anda mengaktifkan perangkat MFA virtual, Anda harus memasukkan kode verifikasi 6 digit yang dihasilkan pada perangkat saat Anda masuk ke Konsol Manajemen Alibaba Cloud. Ini mencegah masuk tanpa izin karena pencurian kata sandi. |
| |
Passkeys | Passkeys adalah metode otentikasi aman yang dapat digunakan sebagai pengganti kata sandi. Pengguna RAM dapat menggunakan passkey untuk logon dan MFA. Passkey memungkinkan Anda menggunakan metode otentikasi bawaan di laptop, ponsel, atau perangkat lain untuk logon atau MFA. Metode otentikasi bawaan termasuk pengenalan sidik jari, pengenalan wajah, dan kode PIN. |
| |
Alamat email | Alamat email yang terikat ke pengguna RAM digunakan untuk menerima kode verifikasi untuk MFA. |
|
Catatan penggunaan
Setelah mengaktifkan MFA dan mengikat perangkat MFA ke pengguna RAM, pengguna RAM harus menyelesaikan langkah-langkah berikut ketika masuk ke Konsol Manajemen Alibaba Cloud atau melakukan operasi sensitif di konsol:
Masukkan nama pengguna dan kata sandi pengguna RAM.
Masukkan kode verifikasi yang dihasilkan oleh perangkat MFA virtual atau yang dikirim ke alamat email. Atau, gunakan passkey untuk melewati autentikasi.
Batasan
Perangkat MFA virtual dapat digunakan saat masuk ke Konsol Manajemen Alibaba Cloud dari browser atau aplikasi Alibaba Cloud.
Untuk informasi lebih lanjut tentang batasan passkey dan jenis perangkat yang didukung oleh passkey, lihat Apa itu Passkey?.
Alamat email dapat diikat ke maksimal lima pengguna RAM.
MFA untuk operasi sensitif
MFA diperlukan untuk operasi sensitif. Jika pengguna RAM dengan metode MFA yang diaktifkan ingin melakukan operasi sensitif di Konsol Manajemen Alibaba Cloud, kontrol risiko dipicu dan pengguna RAM diminta untuk melewati autentikasi identitas lagi. Pengguna RAM hanya dapat melakukan operasi sensitif setelah memasukkan kode verifikasi yang valid.
Sebelum menerapkan autentikasi identitas untuk operasi sensitif bagi semua pengguna RAM, Anda harus mengaktifkan MFA untuk semua pengguna RAM. Untuk informasi lebih lanjut, lihat Kelola Pengaturan Keamanan Pengguna RAM.