Direktori Sumber Daya mendukung autentikasi tingkat sumber daya. Anda dapat menggunakan Resource Access Management (RAM) atau CloudSSO untuk mengelola sumber daya secara hirarkis dalam Direktori Sumber Daya.
Skenario
Dalam banyak kasus, akun manajemen Direktori Sumber Daya perusahaan besar dengan beberapa anak perusahaan dikelola oleh tim manajemen cloud atau tim O&M perusahaan tersebut. Tim ini sering kali ingin mendelegasikan tanggung jawab tertentu kepada administrator setiap anak perusahaan. Dengan cara ini, administrator anak perusahaan dapat mengelola sumber dayanya secara mandiri, meningkatkan efisiensi dan fleksibilitas pengelolaan sumber daya.
Topik ini menjelaskan bagaimana memungkinkan administrator setiap anak perusahaan sebuah perusahaan untuk mengelola sumber dayanya. Sebagai contoh, digunakan Perusahaan Y yang memiliki dua departemen bisnis: Departemen Bisnis 1 dan Departemen Bisnis 2. Perusahaan Y ingin mendelegasikan tanggung jawab manajemen kepada administrator O&M departemen bisnis agar mereka dapat mengelola struktur akun dan izin karyawan secara mandiri. Tabel berikut memberikan rincian lebih lanjut.
Departemen | Administrator | Tugas |
Departemen keamanan | Mike | Mike adalah administrator tim keamanan pusat perusahaan dan bertanggung jawab atas pengelolaan global dan terpusat kebijakan kontrol keamanan. |
Departemen Bisnis 1 | Alice | Alice adalah administrator O&M Departemen Bisnis 1. Alice dapat membuat akun sumber daya dan organisasi, mengonfigurasi kebijakan kontrol, dan mengonfigurasi kontak notifikasi untuk anggota dalam organisasi hanya di Departemen Bisnis 1. Alice tidak dapat melakukan operasi lainnya. |
Departemen Bisnis 2 | Bob | Bob adalah administrator O&M Departemen Bisnis 2. Bob dapat membuat akun sumber daya dan organisasi, mengonfigurasi kebijakan kontrol, dan mengonfigurasi kontak notifikasi untuk anggota dalam organisasi hanya di Departemen Bisnis 2. Bob tidak dapat melakukan operasi lainnya. |
Solusi
Manajemen hirarkis memungkinkan kontrol granular atas izin ruang lingkup sumber daya dan operasi.
Direktori Sumber Daya mendukung autentikasi tingkat sumber daya. Anda dapat menentukan operasi dalam elemen Action dan sumber daya dalam elemen Resource di kebijakan untuk melakukan autentikasi tingkat sumber daya menggunakan RAM. Untuk informasi lebih lanjut, lihat bagian Direktori Sumber Daya dalam topik otorisasi RAM.
Anda dapat memilih salah satu solusi berikut sesuai dengan kebutuhan bisnis Anda:
Solusi 1: Gunakan RAM untuk melakukan manajemen hirarkis
Aktifkan Direktori Sumber Daya.
Administrator Perusahaan Y harus membuat akun Alibaba Cloud, menyelesaikan verifikasi nama asli perusahaan untuk akun tersebut, dan mengaktifkan Direktori Sumber Daya serta membuat folder bernama
Departemen Bisnis 1danDepartemen Bisnis 2. Administrator Perusahaan Y bisa menjadi karyawan dari departemen keuangan. Untuk panduan lebih lanjut tentang aktivasi Direktori Sumber Daya dan pembuatan folder, lihat Aktifkan Direktori Sumber Daya dan Buat Folder.Akun Alibaba Cloud yang digunakan untuk mengaktifkan Direktori Sumber Daya adalah akun manajemen Direktori Sumber Daya.
Buat pengguna RAM bernama
Mikedan berikan Mike izin untuk mengonfigurasi kebijakan kontrol global.Administrator Perusahaan Y menggunakan akun manajemen Direktori Sumber Daya untuk masuk ke Konsol RAM, membuat pengguna RAM bernama
Mike, membuat pasangan AccessKey untuk Mike, dan melampirkan kebijakan kustom berikut ke Mike. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM, Buat Kebijakan Kustom, dan Berikan Izin kepada Pengguna RAM.Kebijakan kustom memiliki dokumen berikut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "resourcemanager:*ControlPolicy*", "resourcemanager:*ControlPolicies*" ], "Resource": [ "acs:resourcemanager:*:*:account/*", "acs:resourcemanager:*:*:folder/*", "acs:resourcemanager:*:*:policy/controlpolicy/*" ] }, { "Effect": "Allow", "Action": [ "resourcemanager:GetResourceDirectory", "resourcemanager:ListAccount*", "resourcemanager:GetFolder*", "resourcemanager:ListFolder*", "resourcemanager:GetAccount", "resourcemanager:GetControlPolicy*", "resourcemanager:ListControlPolicies", "resourcemanager:ListControlPolicyAttachmentsForTarget", "resourcemanager:ListTargetAttachmentsForControlPolicy", "resourcemanager:ListTagKeys", "resourcemanager:ListTagValues" ], "Resource": "*" } ] }Buat pengguna RAM bernama
Alicedan berikan Alice izin manajemen pada folderDepartemen Bisnis 1.Administrator Perusahaan Y menggunakan akun manajemen Direktori Sumber Daya untuk masuk ke Konsol RAM, membuat pengguna RAM bernama
Alice, membuat pasangan AccessKey untuk Alice, dan melampirkan kebijakan kustom berikut ke Alice. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM, Buat Kebijakan Kustom, dan Berikan Izin kepada Pengguna RAM.Kebijakan kustom memiliki dokumen berikut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "resourcemanager:GetResourceDirectory", "resourcemanager:ListTagKeys", "resourcemanager:ListTagValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "resourcemanager:*Account*", "resourcemanager:*Parent*", "resourcemanager:*Folder*", "resourcemanager:*Handshake*", "resourcemanager:*Contact*", "resourcemanager:*Members*", "resourcemanager:*ControlPolicy*", "resourcemanager:*ControlPolicies*", "resourcemanager:*SendVerificationCodeFor*", "resourcemanager:*BindSecureMobilePhone*" ], "Resource": [ "acs:resourcemanager:*:*:account/rd-3G****/r-Wm****/fd-bqp2FA****/*", // RDPath folder Departemen Bisnis 1. "acs:resourcemanager:*:*:folder/rd-3G****/r-Wm****/fd-bqp2FA****/*", // RDPath folder Departemen Bisnis 1. "acs:resourcemanager:*:*:folder/rd-3G****/r-Wm****/fd-bqp2FA****", // RDPath folder Departemen Bisnis 1. "acs:resourcemanager:*:*:handshake/*", "acs:resourcemanager:*:*:policy/controlpolicy/*", "acs:resourcemanager:*:*:messagecontact/*" ] }, { "Effect": "Deny", "Action": [ "resourcemanager:DeleteControlPolicy", "resourcemanager:UpdateControlPolicy", "resourcemanager:DisableControlPolicy", "resourcemanager:EnableControlPolicy", "resourcemanager:DeleteMessageContact", "resourcemanager:UpdateMessageContact", "resourcemanager:CancelMessageContactUpdate", "resourcemanager:CancelHandshake" ], "Resource": "*" } ] }Buat pengguna RAM bernama
Bobdan berikan Bob izin manajemen pada folderDepartemen Bisnis 2.Administrator Perusahaan Y menggunakan akun manajemen Direktori Sumber Daya untuk masuk ke Konsol RAM, membuat pengguna RAM bernama
Bob, membuat pasangan AccessKey untuk Bob, dan melampirkan kebijakan kustom berikut ke Bob. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM, Buat Kebijakan Kustom, dan Berikan Izin kepada Pengguna RAM.Kebijakan kustom memiliki dokumen berikut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "resourcemanager:GetResourceDirectory", "resourcemanager:ListTagKeys", "resourcemanager:ListTagValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "resourcemanager:*Account*", "resourcemanager:*Parent*", "resourcemanager:*Folder*", "resourcemanager:*Handshake*", "resourcemanager:*Contact*", "resourcemanager:*Members*", "resourcemanager:*ControlPolicy*", "resourcemanager:*ControlPolicies*", "resourcemanager:*SendVerificationCodeFor*", "resourcemanager:*BindSecureMobilePhone*" ], "Resource": [ "acs:resourcemanager:*:*:account/rd-3G****/r-Wm****/fd-bqp2FA****/*", // RDPath folder Departemen Bisnis 2. "acs:resourcemanager:*:*:folder/rd-3G****/r-Wm****/fd-bqp2FA****/*", // RDPath folder Departemen Bisnis 2. "acs:resourcemanager:*:*:folder/rd-3G****/r-Wm****/fd-bqp2FA****", // RDPath folder Departemen Bisnis 2. "acs:resourcemanager:*:*:handshake/*", "acs:resourcemanager:*:*:policy/controlpolicy/*", "acs:resourcemanager:*:*:messagecontact/*" ] }, { "Effect": "Deny", "Action": [ "resourcemanager:DeleteControlPolicy", "resourcemanager:UpdateControlPolicy", "resourcemanager:DisableControlPolicy", "resourcemanager:EnableControlPolicy", "resourcemanager:DeleteMessageContact", "resourcemanager:UpdateMessageContact", "resourcemanager:CancelMessageContactUpdate", "resourcemanager:CancelHandshake" ], "Resource": "*" } ] }Verifikasi hasilnya.
Gunakan pasangan AccessKey dari
Mike,Alice, danBobsecara terpisah untuk memanggil Operasi API Direktori Sumber Daya guna mengakses sumber daya yang dimiliki Mike, Alice, dan Bob di Direktori Sumber Daya. JikaAlicehanya dapat melakukan operasi pada sumber daya dalam folderDepartemen Bisnis 1danBobhanya dapat melakukan operasi pada sumber daya dalam folderDepartemen Bisnis 2, konfigurasi sebelumnya telah berhasil diterapkan.
Solusi 2: Gunakan CloudSSO untuk melakukan manajemen hirarkis
Aktifkan Direktori Sumber Daya.
Administrator Perusahaan Y harus membuat akun Alibaba Cloud, menyelesaikan verifikasi nama asli perusahaan untuk akun tersebut, dan mengaktifkan Direktori Sumber Daya serta membuat folder bernama
Departemen Bisnis 1danDepartemen Bisnis 2. Administrator Perusahaan Y bisa menjadi karyawan dari departemen keuangan. Untuk panduan lebih lanjut tentang aktivasi Direktori Sumber Daya dan pembuatan folder, lihat Aktifkan Direktori Sumber Daya dan Buat Folder.Akun Alibaba Cloud yang digunakan untuk mengaktifkan Direktori Sumber Daya adalah akun manajemen Direktori Sumber Daya.
Buat pengguna CloudSSO bernama
Mikedan berikan Mike izin untuk mengonfigurasi kebijakan kontrol global.Administrator Perusahaan Y menggunakan akun manajemen Direktori Sumber Daya untuk masuk ke Konsol CloudSSO, membuat pengguna CloudSSO bernama
Mike, menentukan kata sandi logon untuk Mike, membuat konfigurasi akses, dan menyediakan konfigurasi akses untuk akun manajemen Direktori Sumber Daya bagiMike. Untuk informasi lebih lanjut, lihat Buat Pengguna, Buat Konfigurasi Akses, dan Tetapkan Izin Akses pada Akun dalam Direktori Sumber Daya.Konfigurasi akses menggunakan kebijakan inline dengan dokumen berikut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "resourcemanager:*ControlPolicy*", "resourcemanager:*ControlPolicies*" ], "Resource": [ "acs:resourcemanager:*:*:account/*", "acs:resourcemanager:*:*:folder/*", "acs:resourcemanager:*:*:policy/controlpolicy/*" ] }, { "Effect": "Allow", "Action": [ "resourcemanager:GetResourceDirectory", "resourcemanager:ListAccount*", "resourcemanager:GetFolder*", "resourcemanager:ListFolder*", "resourcemanager:GetAccount", "resourcemanager:GetControlPolicy*", "resourcemanager:ListControlPolicies", "resourcemanager:ListControlPolicyAttachmentsForTarget", "resourcemanager:ListTargetAttachmentsForControlPolicy", "resourcemanager:ListTagKeys", "resourcemanager:ListTagValues" ], "Resource": "*" } ] }Buat pengguna CloudSSO bernama
Alicedan berikan Alice izin manajemen pada folderDepartemen Bisnis 1.Administrator Perusahaan Y menggunakan akun manajemen Direktori Sumber Daya untuk masuk ke Konsol CloudSSO, membuat pengguna CloudSSO bernama
Alice, menentukan kata sandi logon untuk Alice, membuat konfigurasi akses, dan menyediakan konfigurasi akses untuk akun manajemen Direktori Sumber Daya bagiAlice. Untuk informasi lebih lanjut, lihat Buat Pengguna, Buat Konfigurasi Akses, dan Tetapkan Izin Akses pada Akun dalam Direktori Sumber Daya.Konfigurasi akses menggunakan kebijakan inline dengan dokumen berikut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "resourcemanager:GetResourceDirectory", "resourcemanager:ListTagKeys", "resourcemanager:ListTagValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "resourcemanager:*Account*", "resourcemanager:*Parent*", "resourcemanager:*Folder*", "resourcemanager:*Handshake*", "resourcemanager:*Contact*", "resourcemanager:*Members*", "resourcemanager:*ControlPolicy*", "resourcemanager:*ControlPolicies*", "resourcemanager:*SendVerificationCodeFor*", "resourcemanager:*BindSecureMobilePhone*" ], "Resource": [ "acs:resourcemanager:*:*:account/rd-3G****/r-Wm****/fd-bqp2FA****/*", // RDPath folder Departemen Bisnis 1. "acs:resourcemanager:*:*:folder/rd-3G****/r-Wm****/fd-bqp2FA****/*", // RDPath folder Departemen Bisnis 1. "acs:resourcemanager:*:*:folder/rd-3G****/r-Wm****/fd-bqp2FA****", // RDPath folder Departemen Bisnis 1. "acs:resourcemanager:*:*:handshake/*", "acs:resourcemanager:*:*:policy/controlpolicy/*", "acs:resourcemanager:*:*:messagecontact/*" ] }, { "Effect": "Deny", "Action": [ "resourcemanager:DeleteControlPolicy", "resourcemanager:UpdateControlPolicy", "resourcemanager:DisableControlPolicy", "resourcemanager:EnableControlPolicy", "resourcemanager:DeleteMessageContact", "resourcemanager:UpdateMessageContact", "resourcemanager:CancelMessageContactUpdate", "resourcemanager:CancelHandshake" ], "Resource": "*" } ] }Buat pengguna CloudSSO bernama
Bobdan berikan Bob izin manajemen pada folderDepartemen Bisnis 2.Administrator Perusahaan Y menggunakan akun manajemen Direktori Sumber Daya untuk masuk ke Konsol CloudSSO, membuat pengguna CloudSSO bernama
Bob, menentukan kata sandi logon untuk Bob, membuat konfigurasi akses, dan menyediakan konfigurasi akses untuk akun manajemen Direktori Sumber Daya bagiBob. Untuk informasi lebih lanjut, lihat Buat Pengguna, Buat Konfigurasi Akses, dan Tetapkan Izin Akses pada Akun dalam Direktori Sumber Daya.Konfigurasi akses menggunakan kebijakan inline dengan dokumen berikut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "resourcemanager:GetResourceDirectory", "resourcemanager:ListTagKeys", "resourcemanager:ListTagValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "resourcemanager:*Account*", "resourcemanager:*Parent*", "resourcemanager:*Folder*", "resourcemanager:*Handshake*", "resourcemanager:*Contact*", "resourcemanager:*Members*", "resourcemanager:*ControlPolicy*", "resourcemanager:*ControlPolicies*", "resourcemanager:*SendVerificationCodeFor*", "resourcemanager:*BindSecureMobilePhone*" ], "Resource": [ "acs:resourcemanager:*:*:account/rd-3G****/r-Wm****/fd-bqp2FA****/*", // RDPath folder Departemen Bisnis 2. "acs:resourcemanager:*:*:folder/rd-3G****/r-Wm****/fd-bqp2FA****/*", // RDPath folder Departemen Bisnis 2. "acs:resourcemanager:*:*:folder/rd-3G****/r-Wm****/fd-bqp2FA****", // RDPath folder Departemen Bisnis 2. "acs:resourcemanager:*:*:handshake/*", "acs:resourcemanager:*:*:policy/controlpolicy/*", "acs:resourcemanager:*:*:messagecontact/*" ] }, { "Effect": "Deny", "Action": [ "resourcemanager:DeleteControlPolicy", "resourcemanager:UpdateControlPolicy", "resourcemanager:DisableControlPolicy", "resourcemanager:EnableControlPolicy", "resourcemanager:DeleteMessageContact", "resourcemanager:UpdateMessageContact", "resourcemanager:CancelMessageContactUpdate", "resourcemanager:CancelHandshake" ], "Resource": "*" } ] }Verifikasi hasilnya.
Gunakan Antarmuka Baris Perintah Alibaba Cloud (Alibaba Cloud CLI) untuk masuk ke portal pengguna CloudSSO secara terpisah sebagai pengguna CloudSSO
Mike,Alice, danBob. Kemudian, jalankan perintah dalam Alibaba Cloud CLI untuk mengakses sumber daya yang dimiliki Mike, Alice, dan Bob di Direktori Sumber Daya. JikaAlicehanya dapat melakukan operasi pada sumber daya dalam folderDepartemen Bisnis 1danBobhanya dapat melakukan operasi pada sumber daya dalam folderDepartemen Bisnis 2, konfigurasi sebelumnya telah berhasil diterapkan. Untuk informasi tentang cara menggunakan Alibaba Cloud CLI untuk masuk ke portal pengguna CloudSSO, lihat Gunakan Alibaba Cloud CLI untuk Mengakses CloudSSO dan Sumber Daya Alibaba Cloud.CatatanSetelah menyelesaikan konfigurasi solusi yang menggunakan CloudSSO untuk manajemen hirarkis, Anda hanya dapat menggunakan CLI untuk melakukan operasi pada sumber daya yang Anda miliki izinnya. Anda tidak dapat melakukan operasi pada sumber daya di Konsol CloudSSO.