Artikel ini menjelaskan definisi, klasifikasi, skenario penggunaan, dan konsep dasar dari peran Manajemen Akses Sumber Daya (RAM). Artikel ini juga mencakup proses serta batasan dalam penggunaan peran RAM.
Apa itu peran RAM?
Peran RAM adalah identitas virtual yang dapat dikaitkan dengan kebijakan. Berbeda dengan Pengguna RAM, Peran RAM tidak memiliki kredensial identitas permanen seperti kata sandi logon atau Pasangan Kunci Akses. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tepercaya memperoleh token Layanan Keamanan (STS) dan menggunakan token tersebut untuk mengakses sumber daya Alibaba Cloud sebagai Peran RAM.
Jenis-jenis peran RAM
Peran RAM diklasifikasikan berdasarkan entitas tepercaya:
Peran RAM dengan entitas tepercaya Akun Alibaba Cloud: Pengguna RAM atau Peran RAM dalam Akun Alibaba Cloud dapat mengasumsikan tipe peran ini. Pengguna RAM atau Peran RAM yang mengasumsikan peran ini dapat berasal dari Akun Alibaba Cloud pemilik mereka atau Akun Alibaba Cloud lainnya. Tipe peran ini digunakan untuk akses lintas akun dan otorisasi sementara.
Peran RAM dengan entitas tepercaya layanan Alibaba Cloud: Layanan Alibaba Cloud dapat mengasumsikan jenis peran RAM ini. Peran RAM yang diasumsikan oleh layanan tepercaya dibagi menjadi dua jenis: peran layanan normal dan peran layanan terkait. Untuk informasi lebih lanjut tentang peran layanan terkait, lihat peran layanan terkait. Jenis peran ini digunakan untuk memberikan otorisasi akses di antara layanan-layanan Alibaba Cloud.
Peran RAM dengan entitas tepercaya penyedia identitas (IdP): Pengguna IdP tepercaya dapat mengasumsikan jenis peran RAM ini. Jenis peran ini digunakan untuk menerapkan single sign-on (SSO) berbasis peran antara Alibaba Cloud dan IdP tepercaya.
Skenario
Otorisasi akses sementara
Dalam sebagian besar kasus, kami menyarankan Anda memanggil Operasi API pada server untuk mencegah kebocoran Pasangan Kunci Akses. Namun, dalam beberapa skenario, Anda dapat langsung mengunggah file dari klien guna menghindari overhead akibat transfer sumber daya melalui server. Dalam hal ini, server dapat menerbitkan token STS, dan klien dapat menggunakan token tersebut untuk mentransfer sumber daya secara langsung.
Untuk informasi lebih lanjut, lihat Gunakan token STS untuk mengotorisasi aplikasi seluler mengakses sumber daya Alibaba Cloud.
Berikan izin lintas akun Alibaba Cloud
Misalkan Anda memiliki dua Akun Alibaba Cloud: Akun A dan Akun B. Anda ingin mengizinkan pengguna di Akun B mengakses sumber daya tertentu di Akun A. Untuk melakukannya, buat Peran RAM di Akun A dan tetapkan Akun B sebagai entitas tepercaya. Selanjutnya, berikan izin kepada Pengguna RAM atau Peran RAM di Akun B untuk mengasumsikan peran tersebut. Setelah peran diasumsikan, Pengguna RAM atau Peran RAM dari Akun B dapat mengakses sumber daya tertentu di Akun A.
Untuk informasi lebih lanjut, lihat Gunakan peran RAM untuk memberikan izin lintas akun Alibaba Cloud.
Berikan izin lintas layanan Alibaba Cloud
Layanan Alibaba Cloud mungkin perlu mengakses layanan lain untuk mengimplementasikan fitur tertentu. Dalam hal ini, layanan Alibaba Cloud harus diberi otorisasi untuk mengakses layanan lain. Sebagai contoh, untuk mengambil daftar sumber daya dan data log dari Elastic Compute Service (ECS) dan ApsaraDB RDS, Konfigurasi Cloud membutuhkan izin akses pada ECS dan ApsaraDB RDS. Dalam hal ini, Anda dapat membuat Peran RAM yang entitas tepercayanya adalah layanan Alibaba Cloud. Kami menyarankan Anda menggunakan peran terkait layanan. Untuk layanan Alibaba Cloud yang tidak mendukung peran terkait layanan, gunakan peran layanan normal.
Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan peran layanan terkait.
Implementasikan SSO berbasis peran
Jika Alibaba Cloud dan sistem manajemen identitas perusahaan bekerja sama untuk menerapkan SSO berbasis peran, Alibaba Cloud bertindak sebagai penyedia layanan (SP) dan sistem manajemen identitas berperan sebagai IdP. SSO berbasis peran memungkinkan perusahaan mengelola pengguna di IdP lokal tanpa perlu menyinkronkan pengguna dari IdP ke Alibaba Cloud. Selain itu, karyawan perusahaan dapat mengakses Alibaba Cloud menggunakan Peran RAM tertentu. Dalam hal ini, Anda dapat membuat Peran RAM dengan entitas tepercaya berupa IdP.
Untuk informasi lebih lanjut, lihat Ikhtisar SSO berbasis SAML dan Ikhtisar SSO berbasis OIDC.
Istilah
Istilah | Deskripsi |
entitas tepercaya | Entitas tepercaya adalah pengguna entitas yang dapat mengasumsikan peran. Saat Anda membuat peran, Anda harus menentukan entitas tepercaya. Peran RAM hanya dapat diasumsikan oleh entitas tepercaya. Entitas tepercaya bisa berupa akun Alibaba Cloud, layanan Alibaba Cloud, atau IdP. |
Nama Sumber Daya Alibaba Cloud (ARN) dari peran RAM | Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM adalah pengenal sumber daya unik global dari Peran RAM. ARN mengikuti konvensi penamaan ARN Alibaba Cloud. ARN berada dalam format |
kebijakan | Sekumpulan izin yang dijelaskan berdasarkan struktur dan sintaks kebijakan. Anda dapat menggunakan kebijakan untuk menggambarkan set sumber daya yang diizinkan, set operasi yang diizinkan, dan kondisi otorisasi. Kebijakan adalah spesifikasi bahasa sederhana yang menggambarkan sekumpulan izin. Satu atau lebih kebijakan dapat dilampirkan ke peran RAM. Peran RAM tanpa kebijakan tidak dapat mengakses sumber daya Alibaba Cloud. |
mengasumsikan peran | Metode yang digunakan oleh entitas untuk memperoleh token STS dari Peran RAM. Nilai valid:
|
pengalihan identitas | Pengalihan identitas adalah metode yang digunakan oleh pengguna entitas untuk beralih dari identitas logon ke identitas peran di konsol RAM. Setelah pengguna entitas masuk ke konsol RAM, pengguna entitas dapat beralih ke peran RAM yang dapat diasumsikan oleh pengguna entitas. Lalu, pengguna entitas dapat menggunakan peran RAM untuk mengelola sumber daya Alibaba Cloud. Jika pengguna entitas tidak lagi memerlukan identitas peran, pengguna RAM dapat beralih kembali ke identitas logon. |
token STS | Token STS adalah pasangan AccessKey sementara untuk peran RAM. Peran RAM tidak memiliki kata sandi logon atau pasangan AccessKey tertentu. Jika pengguna entitas ingin menggunakan peran RAM, pengguna entitas harus mengasumsikan peran RAM untuk mendapatkan token peran. Lalu, pengguna entitas dapat menggunakan token peran untuk memanggil operasi API layanan Alibaba Cloud. |
Prosedur
Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud atau sebagai administrator RAM.
Buat peran RAM. Untuk informasi lebih lanjut, lihat topik-topik berikut:
Buat tipe peran yang sesuai dengan tujuan Anda.
Berikan izin kepada peran RAM.
Anda dapat menyambungkan kebijakan sistem atau kebijakan kustom ke Peran RAM. Untuk informasi lebih lanjut, lihat Berikan izin ke Peran RAM.
Entitas tepercaya dapat memperoleh token STS dari peran RAM di Konsol Manajemen Alibaba Cloud atau dengan memanggil operasi. Untuk informasi lebih lanjut, lihat topik-topik berikut:
Entitas tepercaya mengasumsikan peran RAM untuk mengakses sumber daya Alibaba Cloud tertentu.
Batasan
Untuk informasi lebih lanjut tentang batasan penggunaan peran RAM, lihat Batasan.