Apa itu STS? - Resource Access Management

Alibaba Cloud Security Token Service (STS) memungkinkan Anda mengelola kredensial sementara untuk sumber daya Alibaba Cloud. Resource Access Management (RAM) menyediakan pengguna RAM dan peran RAM. Peran RAM tidak memiliki kredensial identitas permanen dan hanya dapat diasumsikan menggunakan token STS yang diterbitkan untuk mengakses sumber daya Alibaba Cloud. Saat menerbitkan token STS, Anda dapat menentukan masa berlaku dan izin aksesnya.

Fungsi dan fitur

Gunakan Token STS untuk Mengasumsikan Peran RAM
Pengguna RAM yang berwenang dapat menggunakan pasangan AccessKey untuk memanggil operasi AssumeRole. Dengan cara ini, pengguna RAM mendapatkan token STS dari peran RAM dan dapat menggunakannya untuk mengakses sumber daya Alibaba Cloud.
Metode ini digunakan untuk menerapkan akses lintas akun dan otorisasi sementara. Untuk informasi lebih lanjut, lihat Mengasumsikan Peran RAM, Gunakan Peran RAM untuk Memberikan Izin di Seluruh Akun Alibaba Cloud, dan Gunakan Token STS untuk Mengotorisasi Aplikasi Seluler Mengakses Sumber Daya Alibaba Cloud.
Memperoleh Token STS untuk Single Sign-On (SSO) Berbasis Peran
Anda dapat memanggil operasi AssumeRoleWithSAML atau AssumeRoleWithOIDC untuk memperoleh token STS dari peran RAM guna menerapkan SSO berbasis peran. Untuk informasi lebih lanjut, lihat Ikhtisar atau Ikhtisar SSO Berbasis OIDC.

Manfaat

Token STS membantu mengurangi risiko kebocoran pasangan AccessKey, yang merupakan kredensial jangka panjang untuk pengguna RAM.
Token STS adalah kredensial sementara. Anda dapat menentukan masa berlakunya, dan setelah kedaluwarsa, token tersebut menjadi tidak valid sehingga tidak perlu memutar token secara berkala.
Anda dapat melampirkan kebijakan kustom ke token STS untuk otorisasi fleksibel dan terperinci.

Istilah

Istilah	Deskripsi
Pengguna RAM	Identitas fisik yang memiliki ID tetap dan informasi kredensial. Pengguna RAM mewakili seseorang atau aplikasi. Akun Alibaba Cloud dapat membuat beberapa pengguna RAM. Pengguna RAM dapat digunakan untuk mewakili karyawan, sistem, dan aplikasi dalam suatu perusahaan. Pengguna RAM tidak memiliki sumber daya. Biaya yang dihasilkan oleh pengguna RAM dibebankan kepada akun Alibaba Cloud tempat pengguna RAM tersebut berada. Pengguna RAM tidak menerima tagihan individu dan tidak dapat melakukan pembayaran. Pengguna RAM hanya terlihat oleh akun Alibaba Cloud tempat mereka berada. Sebelum pengguna RAM dapat masuk ke Konsol Manajemen Alibaba Cloud atau memanggil operasi, mereka harus diberi otorisasi oleh akun Alibaba Cloud. Setelah diberi otorisasi, pengguna RAM dapat mengelola sumber daya yang dimiliki oleh akun Alibaba Cloud. Untuk informasi lebih lanjut, lihat Ikhtisar pengguna RAM dan Buat pengguna RAM.
Peran RAM	Identitas virtual yang dapat dilampiri kebijakan. Peran RAM tidak memiliki kata sandi logon atau pasangan AccessKey. Peran RAM harus diasumsikan oleh entitas tepercaya. Entitas tepercaya bisa berupa pengguna RAM, layanan Alibaba Cloud, atau penyedia identitas (IdP). Jika entitas tepercaya mengasumsikan peran RAM, entitas tepercaya dapat memperoleh dan menggunakan token STS dari peran RAM untuk mengakses sumber daya tempat peran RAM memiliki izin. Peran RAM diklasifikasikan ke dalam jenis-jenis berikut berdasarkan entitas tepercaya: Alibaba Cloud account: Pengguna RAM dari akun Alibaba Cloud tepercaya dapat mengasumsikan jenis peran RAM ini. Pengguna RAM yang mengasumsikan jenis peran RAM ini dapat berasal dari akun Alibaba Cloud mereka sendiri atau akun Alibaba Cloud lainnya. Jenis peran RAM ini digunakan untuk akses lintas akun dan otorisasi sementara. Alibaba Cloud service: Layanan Alibaba Cloud dapat mengasumsikan jenis peran RAM ini. Jenis peran RAM ini digunakan untuk memberi otorisasi layanan Alibaba Cloud mengelola sumber daya Anda. IdP: Pengguna IdP tepercaya dapat mengasumsikan jenis peran RAM ini. Jenis peran RAM ini digunakan untuk menerapkan SSO antara Alibaba Cloud dan IdP tepercaya. Untuk informasi lebih lanjut, lihat Ikhtisar peran RAM, Buat peran RAM untuk akun Alibaba Cloud tepercaya, Buat peran RAM untuk IdP tepercaya, dan Buat peran RAM untuk layanan Alibaba Cloud tepercaya.
Nama Sumber Daya Alibaba Cloud (ARN) dari peran RAM	ARN dari peran RAM adalah pengenal sumber daya unik global dari peran RAM tersebut. ARN mengikuti konvensi penamaan ARN yang disediakan oleh Alibaba Cloud. Sebagai contoh, ARN dari peran RAM devops yang dimiliki oleh akun Alibaba Cloud adalah `acs:ram::123456789012**:role/samplerole`. Setelah Anda membuat peran RAM, Anda dapat mengklik nama peran RAM dan menemukan ARN dari peran RAM tersebut di bagian Basic Information**.
entitas tepercaya	Entitas yang dipercaya untuk mengasumsikan peran RAM. Anda harus menentukan entitas tepercaya saat membuat peran RAM. Hanya entitas tepercaya yang dapat mengasumsikan peran RAM. Entitas tepercaya bisa berupa akun Alibaba Cloud, layanan Alibaba Cloud, atau IdP.
kebijakan	Sekumpulan izin yang dijelaskan berdasarkan struktur dan sintaksis kebijakan. Anda dapat menggunakan kebijakan untuk menjelaskan set sumber daya yang diizinkan, set operasi yang diizinkan, dan kondisi otorisasi. Kebijakan adalah spesifikasi bahasa sederhana yang menjelaskan sekumpulan izin. Satu atau lebih kebijakan dapat dilampirkan ke peran RAM. Peran RAM tanpa kebijakan tidak dapat mengakses sumber daya Alibaba Cloud.
mengasumsikan peran	Metode bagi entitas untuk memperoleh token STS dari peran RAM. Pengguna entitas dapat memanggil operasi API STS AssumeRole untuk memperoleh token STS dari peran RAM. Kemudian, pengguna entitas dapat menggunakan token STS untuk memanggil operasi API layanan Alibaba Cloud.

Layanan yang bekerja dengan STS

Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan STS.