All Products
Search

This Product

    Resource Access Management:Peran terkait layanan

    Document Center

    Resource Access Management:Peran terkait layanan

    Last Updated:Mar 07, 2026

    Apa itu SLR?

    Peran terkait layanan (SLR) adalah jenis khusus peran Resource Access Management (RAM) yang terhubung langsung ke layanan Alibaba Cloud. Layanan tersebut dapat mengasumsikan peran ini untuk melakukan aksi di layanan lain atas nama Anda.

    • Kebijakan kepercayaan SLR telah ditentukan sebelumnya dan hanya mengizinkan layanan cloud terkait untuk mengasumsikannya. Pihak yang berwenang lainnya, seperti Pengguna RAM atau peran lain, tidak dapat mengasumsikan SLR.

    • Kebijakan akses SLR juga telah ditentukan sebelumnya oleh layanan cloud. Anda tidak dapat memodifikasi kebijakan tersebut atau menyambungkan kebijakan tambahan. Hal ini memastikan bahwa layanan hanya memiliki izin yang diperlukan untuk berfungsi (prinsip hak istimewa minimal).

    Mengapa menggunakan SLR?

    SLR menyederhanakan proses pemberian izin kepada layanan Alibaba Cloud. Anda tidak perlu membuat dan mengelola peran RAM secara manual untuk mereka. SLR menawarkan beberapa keunggulan:

    • Pengaturan yang disederhanakan: Layanan yang menggunakan SLR menangani pembuatan peran RAM dan konfigurasi izin untuk Anda. Misalnya, saat Anda mengaktifkan Cloud Config, layanan tersebut secara otomatis membuat SLR yang memberikan akses read-only ke sumber daya seperti instans Elastic Compute Service (ECS) dan database ApsaraDB RDS. Anda tidak perlu membuat peran RAM atau menulis kebijakan secara manual.

    • Keamanan yang lebih baik: Karena kebijakan akses untuk SLR telah ditentukan sebelumnya dan tidak dapat dimodifikasi, layanan cloud tidak dapat melakukan aksi di luar tujuan yang dimaksudkan. Kebijakan kepercayaan yang terkunci juga mencegah penyalahgunaan SLR oleh pihak yang berwenang lainnya.

    Cara kerja

    Contoh berikut menunjukkan bagaimana Cloud Config menggunakan SLR:

    image

    1. Saat Anda mengaktifkan Cloud Config, layanan tersebut membuat SLR-nyaAliyunServiceRoleForConfig—di akun Anda.

      • Kebijakan kepercayaan: Hanya mengizinkan config.aliyuncs.com untuk mengasumsikan peran tersebut, sehingga memastikan hanya Cloud Config yang dapat menggunakannya.

      • Kebijakan akses: Memberikan izin untuk mengakses sumber daya dari layanan Alibaba Cloud seperti ECS dan ApsaraDB RDS.

    2. Layanan mengasumsikan SLR tersebut. Cloud Config (bertindak sebagai pihak yang berwenang config.aliyuncs.com) mengasumsikan SLR ini untuk mendapatkan kredensial temporary.

    3. Layanan melakukan aksi. Dengan menggunakan kredensial SLR, Cloud Config melakukan panggilan API read-only ke layanan seperti ECS dan ApsaraDB RDS untuk mengambil data konfigurasi dan menghasilkan laporan kepatuhan.

    Dengan cara ini, Cloud Config dapat mengakses layanan lain secara aman dan mudah tanpa Anda harus mengonfigurasi kebijakan akses yang kompleks secara manual.

    Perbandingan dengan peran layanan

    SLR dan peran layanan sama-sama diasumsikan oleh layanan cloud, tetapi berbeda dalam cara pembuatan, pengelolaan, dan penyesuaian.

    Aspek

    SLR

    Peran layanan

    Pembuatan

    Dalam sebagian besar kasus, dibuat secara otomatis oleh layanan terkait.

    Umumnya dibuat secara manual oleh administrator.

    Pemeliharaan

    Dikelola oleh layanan terkait. Anda tidak dapat memodifikasi peran atau kebijakannya.

    Dikelola oleh administrator. Anda dapat memodifikasi peran dan kebijakannya.

    Penghapusan

    Hanya dapat dihapus setelah semua sumber daya dependen di layanan terkait dihapus.

    Dapat dihapus kapan saja oleh administrator.

    Kebijakan akses

    Telah ditentukan sebelumnya oleh layanan dan tidak dapat dimodifikasi.

    Ditentukan pengguna. Anda dapat menyambungkan dan melepas kebijakan sesuai kebutuhan.

    Kebijakan kepercayaan

    Telah ditentukan sebelumnya untuk hanya memercayai layanan terkait dan tidak dapat dimodifikasi.

    Ditentukan pengguna. Anda dapat menentukan pihak yang berwenang mana (termasuk layanan) yang dapat mengasumsikan peran tersebut.

    Banyak layanan Alibaba Cloud menggunakan SLR untuk berinteraksi dengan layanan lain atas nama Anda. Untuk daftar lengkap layanan yang bekerja dengan SLR, lihat Layanan yang bekerja dengan peran terkait layanan.

    Mengelola SLR

    Bagian ini menjelaskan izin yang diperlukan untuk mengelola SLR serta prosedur pembuatan dan penghapusannya.

    Catatan

    Anda hanya dapat membuat atau menghapus SLR. Anda tidak dapat memodifikasi nama SLR, kebijakan akses, atau kebijakan kepercayaannya.

    Pengguna RAM memerlukan izin ram:CreateServiceLinkedRole dan ram:DeleteServiceLinkedRole untuk membuat dan menghapus SLR, masing-masing. Izin ini biasanya termasuk dalam kebijakan sistem akses penuh untuk layanan terkait (seperti AliyunResourceDirectoryFullAccess).

    Sebagai alternatif, Anda dapat membuat kebijakan kustom untuk memberikan izin mengelola SLR untuk layanan tertentu. Kebijakan berikut memungkinkan pengguna RAM untuk membuat dan menghapus SLR hanya untuk layanan Resource Management. Untuk nilai ram:ServiceName, lihat kolom "Service identifier" di Layanan yang bekerja dengan peran terkait layanan.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateServiceLinkedRole",
        "ram:DeleteServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "resourcemanager.aliyuncs.com"
        }
      }
    }
  ]
}

    Membuat SLR

    • Pembuatan otomatis: Dalam sebagian besar kasus, layanan terkait membuat SLR untuk Anda secara otomatis saat pertama kali Anda menggunakan fitur yang memerlukannya. Hal ini dapat terjadi saat Anda mengaktifkan layanan, membuat sumber daya, atau melakukan aksi lain di konsol layanan tersebut.

    • Pembuatan manual: Jika SLR tidak dibuat secara otomatis, Anda dapat membuatnya secara manual melalui Konsol RAM, API, atau CLI. Untuk petunjuknya, lihat Membuat SLR.

    Catatan

    Meskipun SLR dihitung dalam kuota peran akun Anda, pembuatannya tidak diblokir meskipun kuota telah tercapai; namun, pembuatan semua jenis peran lain akan diblokir hingga peran yang ada dihapus. Untuk informasi selengkapnya, lihat Batasan.

    Menghapus SLR

    • Penghapusan otomatis: Beberapa layanan mungkin secara otomatis menghapus SLR saat Anda menonaktifkan layanan tersebut atau menghapus semua sumber daya terkaitnya.

    • Penghapusan manual: Anda dapat menghapus SLR secara manual menggunakan Konsol RAM, API, atau CLI. Saat Anda mencoba menghapus SLR, RAM memeriksa apakah peran tersebut masih digunakan.

      • Jika peran tersebut tidak sedang digunakan, penghapusan berhasil.

      • Jika peran tersebut sedang digunakan, penghapusan gagal dan pesan error menunjukkan sumber daya mana yang masih menggunakan peran tersebut. Anda harus menghapus sumber daya dependen tersebut sebelum dapat menghapus SLR. Untuk langkah pembersihan spesifik tiap layanan, lihat dokumentasi layanan tersebut.

    Penting

    Menghapus SLR dapat menyebabkan layanan terkait berhenti berfungsi dengan benar. Sebelum menghapus SLR, pastikan Anda tidak lagi memerlukan fitur yang disediakan oleh layanan tersebut.

    Mengasumsikan SLR

    Hanya layanan cloud terkait yang dapat mengasumsikan SLR-nya. Anda tidak dapat langsung mengasumsikan SLR dari konsol atau dengan memanggil AssumeRole sebagai pengguna atau peran lain.

    Menampilkan layanan tepercaya

    Anda dapat melihat pihak yang berwenang dari layanan tepercaya untuk SLR dengan memeriksa kebijakan kepercayaannya. Di Konsol RAM, buka halaman detail peran dan pilih tab Trust Policy. Bidang Service dalam elemen Principal mengidentifikasi layanan yang diizinkan untuk mengasumsikan SLR tersebut.

    image

    Memantau SLR dengan ActionTrail

    Anda dapat melacak pembuatan, penghapusan, dan penggunaan SLR dengan meninjau log ActionTrail Anda.

    • Audit siklus hidup dan asumsi SLR

      Untuk melacak kapan SLR dibuat, dihapus, atau diasumsikan, cari nama event berikut di Konsol ActionTrail:

      • CreateServiceLinkedRole: Mencatat pembuatan SLR.

      • DeleteServiceLinkedRole: Mencatat penghapusan SLR.

      • AssumeRole: Mencatat saat layanan mengasumsikan SLR. Dalam detail event, bidang userIdentity.principalId menampilkan pihak yang berwenang dari layanan (seperti tag.aliyuncs.com), dan bidang requestParameters.RoleArn menampilkan ARN dari SLR yang diasumsikan.

        {
  ...
  "requestParameters": {
    ...
    "RoleArn": "acs:ram::ACCOUNT_ID:role/aliyunservicerolefortag",
    "RoleSessionName": "tag_operate",
  },
  ...
  "userIdentity": {
    ...
    "principalId": "tag.aliyuncs.com",
    "userName": "tag.aliyuncs.com"
  },
  "eventName": "AssumeRole"
}

    • Audit aktivitas SLR

      Untuk melihat aksi yang dilakukan oleh SLR setelah diasumsikan, cari nama SLR di filter Operator.

    FAQ

    Kebijakan akses SLR tampak terlalu luas. Apakah ini risiko keamanan?

    Tidak. SLR dirancang dengan mempertimbangkan keamanan:

    1. Kebijakan akses dirancang oleh tim layanan untuk hanya mencakup izin yang diperlukan agar layanan dapat berfungsi.

    2. Kebijakan kepercayaan dikunci dan hanya mengizinkan layanan terkait tertentu untuk mengasumsikan peran tersebut.

    Jika Anda memiliki kekhawatiran mengenai izin SLR tertentu, konsultasikan dengan dokumentasi layanan tersebut atau hubungi dukungan.

    Mengapa saya tidak dapat menghapus SLR?

    Anda tidak dapat menghapus SLR jika peran tersebut masih terkait dengan sumber daya di layanan terkait. Penghapusan akan gagal dengan pesan error yang mencantumkan sumber daya dependen. Anda harus menghapus sumber daya tersebut terlebih dahulu sebelum dapat menghapus peran tersebut. Untuk informasi selengkapnya, lihat bagian "Menghapus SLR" dalam topik ini.