全部产品
Search

搜索本产品

    Resource Access Management:Peran terkait layanan

    文档中心

    Resource Access Management:Peran terkait layanan

    更新时间:Feb 25, 2026

    Apa itu SLR?

    Peran terkait layanan (SLR) adalah jenis khusus peran Resource Access Management (RAM) yang ditautkan langsung ke layanan Alibaba Cloud. Layanan tersebut dapat mengasumsikan peran ini untuk melakukan aksi di layanan lain atas nama Anda.

    • Kebijakan kepercayaan SLR telah ditentukan sebelumnya dan hanya mengizinkan layanan cloud yang ditautkan untuk mengasumsikannya. Tidak ada pihak berwenang lainnya, seperti Pengguna RAM atau peran lain, yang dapat mengasumsikan SLR.

    • Kebijakan akses SLR juga telah ditentukan sebelumnya oleh layanan cloud. Anda tidak dapat mengubah kebijakan tersebut atau menyambungkan kebijakan tambahan. Hal ini memastikan bahwa layanan hanya memiliki izin yang diperlukan untuk berfungsi (prinsip hak istimewa minimal).

    Mengapa menggunakan SLR?

    SLR menyederhanakan proses pemberian izin kepada layanan Alibaba Cloud. Anda tidak perlu membuat dan mengelola peran RAM secara manual untuk mereka. SLR menawarkan beberapa keunggulan:

    • Pengaturan yang disederhanakan: Layanan yang menggunakan SLR menangani pembuatan peran RAM dan konfigurasi izin untuk Anda. Misalnya, ketika Anda mengaktifkan Cloud Config, layanan tersebut secara otomatis membuat SLR yang memberikan akses read-only ke sumber daya seperti instans Elastic Compute Service (ECS) dan database ApsaraDB RDS. Anda tidak perlu membuat peran RAM atau menulis kebijakan secara manual.

    • Keamanan yang lebih baik: Karena kebijakan akses untuk SLR telah ditentukan sebelumnya dan tidak dapat diubah, layanan cloud tidak dapat melakukan aksi di luar tujuan yang dimaksudkan. Kebijakan kepercayaan yang terkunci juga mencegah penyalahgunaan SLR oleh pihak berwenang lainnya.

    Cara kerja

    Contoh berikut menunjukkan bagaimana Cloud Config menggunakan SLR:

    image

    1. Saat Anda mengaktifkan Cloud Config, layanan tersebut membuat SLR-nyaAliyunServiceRoleForConfig—di akun Anda.

      • Kebijakan kepercayaan: Hanya mengizinkan config.aliyuncs.com untuk mengasumsikan peran tersebut, yang memastikan hanya Cloud Config yang dapat menggunakannya.

      • Kebijakan akses: Memberikan izin untuk mengakses sumber daya dari layanan Alibaba Cloud seperti ECS dan ApsaraDB RDS.

    2. Layanan mengasumsikan SLR tersebut. Cloud Config (bertindak sebagai pihak berwenang config.aliyuncs.com) mengasumsikan SLR ini untuk mendapatkan kredensial sementara.

    3. Layanan melakukan aksi. Dengan menggunakan kredensial SLR, Cloud Config melakukan panggilan API read-only ke layanan seperti ECS dan ApsaraDB RDS untuk mengambil data konfigurasi dan menghasilkan laporan kepatuhan.

    Dengan cara ini, Cloud Config dapat mengakses layanan lain secara aman dan mudah tanpa Anda perlu mengonfigurasi kebijakan akses yang kompleks secara manual.

    Perbandingan dengan peran layanan

    SLR dan peran layanan sama-sama diasumsikan oleh layanan cloud, tetapi berbeda dalam cara pembuatan, pengelolaan, dan penyesuaian.

    Aspek

    SLR

    Peran layanan

    Pembuatan

    Dalam kebanyakan kasus, dibuat secara otomatis oleh layanan yang ditautkan.

    Umumnya dibuat secara manual oleh administrator.

    Pemeliharaan

    Dikelola oleh layanan yang ditautkan. Anda tidak dapat mengubah peran atau kebijakannya.

    Dikelola oleh administrator. Anda dapat mengubah peran dan kebijakannya.

    Penghapusan

    Hanya dapat dihapus setelah semua sumber daya dependen di layanan yang ditautkan dihapus.

    Dapat langsung dihapus kapan saja oleh administrator.

    Kebijakan akses

    Telah ditentukan sebelumnya oleh layanan dan tidak dapat diubah.

    Ditentukan pengguna. Anda dapat menyambungkan dan melepas kebijakan sesuai kebutuhan.

    Kebijakan kepercayaan

    Telah ditentukan sebelumnya untuk hanya memercayai layanan yang ditautkan dan tidak dapat diubah.

    Ditentukan pengguna. Anda dapat menentukan pihak berwenang mana (termasuk layanan) yang dapat mengasumsikan peran tersebut.

    Banyak layanan Alibaba Cloud menggunakan SLR untuk berinteraksi dengan layanan lain atas nama Anda. Untuk daftar lengkap layanan yang bekerja dengan SLR, lihat Layanan yang bekerja dengan peran terkait layanan.

    Kelola SLR

    Bagian ini menjelaskan izin yang diperlukan untuk mengelola SLR serta prosedur pembuatan dan penghapusannya.

    Catatan

    Anda hanya dapat membuat atau menghapus SLR. Anda tidak dapat mengubah nama SLR, kebijakan akses, atau kebijakan kepercayaannya.

    Pengguna RAM memerlukan izin ram:CreateServiceLinkedRole dan ram:DeleteServiceLinkedRole untuk membuat dan menghapus SLR, masing-masing. Izin ini biasanya termasuk dalam kebijakan sistem akses penuh untuk layanan terkait (seperti AliyunResourceDirectoryFullAccess).

    Sebagai alternatif, Anda dapat membuat kebijakan kustom untuk memberikan izin mengelola SLR untuk layanan tertentu. Kebijakan berikut memungkinkan pengguna RAM untuk membuat dan menghapus SLR hanya untuk layanan Resource Management. Untuk nilai ram:ServiceName, lihat kolom "Service identifier" di Layanan yang bekerja dengan peran terkait layanan.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateServiceLinkedRole",
        "ram:DeleteServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "resourcemanager.aliyuncs.com"
        }
      }
    }
  ]
}

    Buat SLR

    • Pembuatan otomatis: Dalam kebanyakan kasus, layanan yang ditautkan akan membuat SLR untuk Anda secara otomatis saat pertama kali Anda menggunakan fitur yang memerlukannya. Hal ini bisa terjadi saat Anda mengaktifkan layanan, membuat sumber daya, atau melakukan aksi lain di konsol layanan tersebut.

    • Pembuatan manual: Jika SLR tidak dibuat secara otomatis, Anda dapat membuatnya secara manual melalui Konsol RAM, API, atau CLI. Untuk petunjuknya, lihat Buat SLR.

    Catatan

    Meskipun SLR dihitung dalam kuota peran akun Anda, pembuatannya tidak diblokir meskipun kuota telah tercapai; namun, pembuatan semua jenis peran lainnya akan diblokir hingga peran yang ada dihapus. Untuk informasi selengkapnya, lihat Batasan.

    Hapus SLR

    • Penghapusan otomatis: Beberapa layanan mungkin secara otomatis menghapus SLR saat Anda menonaktifkan layanan tersebut atau menghapus semua sumber daya terkaitnya.

    • Penghapusan manual: Anda dapat menghapus SLR secara manual menggunakan Konsol RAM, API, atau CLI. Saat Anda mencoba menghapus SLR, RAM akan memeriksa apakah peran tersebut masih digunakan.

      • Jika peran tersebut tidak sedang digunakan, penghapusan akan berhasil.

      • Jika peran tersebut sedang digunakan, penghapusan akan gagal dan pesan error akan menunjukkan sumber daya mana yang masih menggunakan peran tersebut. Anda harus menghapus sumber daya dependen tersebut sebelum dapat menghapus SLR. Untuk langkah pembersihan spesifik tiap layanan, lihat dokumentasi layanan tersebut.

    Penting

    Menghapus SLR dapat menyebabkan layanan yang ditautkan berhenti berfungsi dengan benar. Sebelum menghapus SLR, pastikan Anda tidak lagi memerlukan fitur yang disediakan oleh layanan tersebut.

    Asumsikan SLR

    Hanya layanan cloud yang ditautkan yang dapat mengasumsikan SLR-nya. Anda tidak dapat langsung mengasumsikan SLR dari konsol atau dengan memanggil AssumeRole sebagai pengguna atau peran lain.

    Lihat layanan tepercaya

    Anda dapat melihat pihak berwenang dari layanan tepercaya untuk SLR dengan memeriksa kebijakan kepercayaannya. Di Konsol RAM, buka halaman detail peran dan pilih tab Trust Policy. Bidang Service dalam elemen Principal mengidentifikasi layanan yang diizinkan untuk mengasumsikan SLR tersebut.

    image

    Monitor SLR dengan ActionTrail

    Anda dapat melacak pembuatan, penghapusan, dan penggunaan SLR dengan meninjau log ActionTrail Anda.

    • Audit siklus hidup dan asumsi SLR

      Untuk melacak kapan SLR dibuat, dihapus, atau diasumsikan, cari nama event berikut di Konsol ActionTrail:

      • CreateServiceLinkedRole: Mencatat pembuatan SLR.

      • DeleteServiceLinkedRole: Mencatat penghapusan SLR.

      • AssumeRole: Mencatat saat layanan mengasumsikan SLR. Dalam detail event, bidang userIdentity.principalId menampilkan pihak berwenang dari layanan (seperti tag.aliyuncs.com), dan bidang requestParameters.RoleArn menampilkan ARN dari SLR yang diasumsikan.

        {
  ...
  "requestParameters": {
    ...
    "RoleArn": "acs:ram::ACCOUNT_ID:role/aliyunservicerolefortag",
    "RoleSessionName": "tag_operate",
  },
  ...
  "userIdentity": {
    ...
    "principalId": "tag.aliyuncs.com",
    "userName": "tag.aliyuncs.com"
  },
  "eventName": "AssumeRole"
}

    • Audit aktivitas SLR

      Untuk melihat aksi yang dilakukan oleh SLR setelah diasumsikan, cari nama SLR di filter Operator.

    FAQ

    Kebijakan akses SLR tampak terlalu luas. Apakah ini risiko keamanan?

    Tidak. SLR dirancang dengan mempertimbangkan keamanan:

    1. Kebijakan akses dirancang oleh tim layanan untuk hanya mencakup izin yang diperlukan agar layanan dapat berfungsi.

    2. Kebijakan kepercayaan dikunci dan hanya mengizinkan layanan tertentu yang ditautkan untuk mengasumsikan peran tersebut.

    Jika Anda memiliki kekhawatiran mengenai izin SLR tertentu, konsultasikan dokumentasi layanan tersebut atau hubungi dukungan.

    Mengapa saya tidak dapat menghapus SLR?

    Anda tidak dapat menghapus SLR jika peran tersebut masih terkait dengan sumber daya di layanan yang ditautkan. Penghapusan akan gagal dengan pesan error yang mencantumkan sumber daya dependen. Anda harus menghapus sumber daya tersebut terlebih dahulu sebelum dapat menghapus peran tersebut. Untuk informasi selengkapnya, lihat bagian "Hapus SLR" dalam topik ini.