Mengapa saya tidak dapat masuk ke Konsol Manajemen Alibaba Cloud menggunakan anggota, menghapus anggota, mengganti jenis anggota, dan mengikat nomor ponsel ke anggota untuk tujuan keamanan sebagai pengguna root dari suatu akun? - Resource Management

Setelah masuk ke konsol Resource Management sebagai pengguna root dari akun manajemen direktori sumber daya Anda, Anda mungkin tidak dapat melakukan operasi berikut di halaman Resource Directory: masuk ke Konsol Manajemen Alibaba Cloud menggunakan anggota, menghapus anggota, mengganti jenis anggota, dan mengikat nomor ponsel ke anggota untuk tujuan keamanan. Topik ini menjelaskan penyebab dan solusi untuk masalah tersebut.

Deskripsi Masalah

Setelah masuk ke konsol Resource Management sebagai pengguna root dari akun manajemen direktori sumber daya Anda, tombol Logon Account, Delete, Switch to Cloud Account, Switch to Resource Account, dan Bind Mobile Phone Number di kolom Actions menjadi tidak aktif, seperti yang ditunjukkan pada gambar berikut.

Penyebab

Dalam praktik terbaik Alibaba Cloud, prinsip hak istimewa minimal diterapkan untuk memastikan keamanan. Pengguna root adalah identitas akun Alibaba Cloud. Secara default, pengguna root memiliki semua izin administratif atas sumber daya dalam akun Alibaba Cloud terkait. Menggunakan pengguna root dari akun untuk melakukan operasi dapat menyebabkan risiko keamanan yang sangat tinggi dan tidak sesuai dengan persyaratan keamanan. Dalam direktori sumber daya, hanya akun cloud yang memiliki pengguna root. Untuk memastikan keamanan, kami menyarankan Anda menonaktifkan pengguna root untuk semua akun cloud dalam direktori sumber daya Anda dan menggunakan pengguna RAM untuk melakukan operasi terkait. Anda dapat memberikan izin kepada pengguna RAM berdasarkan kebutuhan bisnis Anda.

Hanya pengguna RAM dengan izin yang diperlukan yang dapat digunakan untuk melakukan operasi utama dalam direktori sumber daya karena alasan berikut:

Pengguna RAM dapat diberi izin berdasarkan prinsip hak istimewa minimal.
Risiko keamanan yang disebabkan oleh penyalahgunaan pengguna root dari akun dapat dicegah.
Operasi yang dilakukan menggunakan pengguna RAM dapat dicatat oleh sistem, yang memudahkan audit dan pelacakan.

Solusi

Anda dapat membuat pengguna RAM untuk akun manajemen direktori sumber daya Anda, memberikan izin yang diperlukan kepada pengguna RAM, dan menggunakan pengguna RAM untuk melakukan operasi.

Gunakan pengguna root dari akun manajemen untuk membuat pengguna RAM.
Gunakan pengguna root dari akun manajemen untuk masuk ke konsol RAM. Di panel navigasi sebelah kiri, pilih Identities > Users. Pada halaman Users, klik Create User. Dalam contoh ini, Access Mode diatur ke Console Access dan kata sandi ditentukan untuk masuk ke konsol. Untuk informasi lebih lanjut, lihat Buat pengguna RAM.

Gunakan pengguna root dari akun manajemen untuk memberikan izin kepada pengguna RAM.

Pada halaman Users, temukan pengguna RAM dan klik Add Permissions di kolom Actions. Di panel Grant Permission, lampirkan kebijakan yang diperlukan ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.

Tabel berikut mencantumkan kebijakan yang diperlukan dalam skenario berbeda.

Skenario	Kebijakan
Tidak dapat masuk ke Konsol Manajemen Alibaba Cloud menggunakan anggota	AliyunResourceDirectoryFullAccess, atau kebijakan kustom yang berisi izin operasi minimum yang diperlukan AliyunSTSAssumeRoleAccess
Tidak dapat menghapus anggota	AliyunResourceDirectoryFullAccess, atau kebijakan kustom yang berisi izin operasi minimum yang diperlukan Catatan Jika fitur penghapusan anggota dinonaktifkan, tombol Delete juga akan menjadi tidak aktif. Oleh karena itu, Anda perlu mengaktifkan fitur penghapusan anggota. Untuk informasi lebih lanjut, lihat Aktifkan fitur penghapusan anggota.
Tidak dapat mengganti jenis anggota	AliyunResourceDirectoryFullAccess, atau kebijakan kustom yang berisi izin operasi minimum yang diperlukan
Tidak dapat mengikat nomor ponsel ke anggota untuk tujuan keamanan	AliyunResourceDirectoryFullAccess, atau kebijakan kustom yang berisi izin operasi minimum yang diperlukan

Catatan

Kebijakan AliyunResourceDirectoryFullAccess mendefinisikan izin tertinggi pada direktori sumber daya. Jika Anda ingin melakukan operasi tertentu sebagai pengguna RAM, kami sarankan Anda memberikan pengguna RAM hanya izin yang diperlukan untuk melakukan operasi tersebut. Untuk informasi tentang izin, lihat Direktori Sumber Daya.

Masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM.
Masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM dan masukkan nama pengguna dan kata sandi pengguna RAM. Kemudian, masuk ke konsol Resource Management dan lakukan operasi berdasarkan kebutuhan bisnis Anda.