全部产品
Search

搜索本产品

    Resource Management:Ikhtisar

    文档中心

    Resource Management:Ikhtisar

    更新时间:Dec 04, 2025

    Fitur Kebijakan Kontrol yang disediakan oleh Direktori Sumber Daya memungkinkan pengelolaan terpusat batas izin folder atau anggota dalam direktori sumber daya. Fitur ini diimplementasikan berdasarkan Direktori Sumber Daya dan dapat digunakan untuk mengembangkan aturan umum atau khusus untuk kontrol akses. Fitur Kebijakan Kontrol tidak memberikan izin tetapi hanya mendefinisikan batas izin. Sebelum menggunakan akun yang merupakan anggota dari direktori sumber daya Anda untuk mengakses sumber daya, Anda harus memberikan izin yang diperlukan kepada akun tersebut melalui layanan Resource Access Management (RAM).

    Skenario

    Setelah perusahaan membuat Direktori Sumber Daya dan menambahkan anggota untuk setiap departemen, perusahaan perlu mengelola penggunaan anggota tersebut. Jika tidak, pelanggaran terhadap aturan O&M dapat terjadi, menyebabkan risiko keamanan dan biaya tambahan yang tidak perlu. Direktori Sumber Daya menyediakan fitur Kebijakan Kontrol, yang memungkinkan perusahaan merumuskan kebijakan kontrol akses secara terpusat menggunakan akun manajemen Direktori Sumber Daya. Perusahaan kemudian dapat melampirkan kebijakan-kebijakan ini ke folder dan anggota dalam Direktori Sumber Daya untuk mengontrol akses ke sumber daya anggota, memastikan kepatuhan terhadap keamanan dan pengendalian biaya. Misalnya, perusahaan dapat mencegah anggota mengajukan nama domain atau menghapus catatan log.

    Jenis kebijakan kontrol akses

    • System access control policy

      Direktori Sumber Daya hanya menyediakan satu kebijakan kontrol akses sistem, yaitu FullAliyunAccess. Anda dapat melihat kebijakan kontrol akses sistem tetapi tidak dapat membuat, memodifikasi, atau menghapusnya. Setelah mengaktifkan fitur Kebijakan Kontrol, sistem secara otomatis melampirkan kebijakan kontrol akses sistem ke semua folder dan anggota dalam Direktori Sumber Daya secara default. Kebijakan ini mengizinkan semua operasi pada semua sumber daya cloud Anda.

    • Custom access control policy

      Kebijakan kontrol akses kustom dibuat oleh pengguna sesuai kebutuhan. Anda dapat membuat, memodifikasi, atau menghapus kebijakan kontrol akses kustom. Setelah pembuatan, Anda harus melampirkan kebijakan tersebut ke folder atau anggota agar kebijakan berlaku. Jika kebijakan tidak lagi diperlukan, Anda dapat melepasnya dari folder atau anggota.

    Cara kerjanya

    Fitur Kebijakan Kontrol bekerja sebagai berikut:

    1. Gunakan akun manajemen Direktori Sumber Daya untuk mengaktifkan fitur Kebijakan Kontrol. Untuk informasi lebih lanjut, lihat Aktifkan fitur Kebijakan Kontrol.

      Setelah fitur diaktifkan, sistem secara otomatis melampirkan kebijakan kontrol akses sistem FullAliyunAccess ke semua folder dan anggota dalam Direktori Sumber Daya secara default. Kebijakan ini mengizinkan semua operasi pada semua sumber daya cloud Anda, mencegah kegagalan akses yang disebabkan oleh konfigurasi kebijakan kontrol yang tidak tepat.

    2. Gunakan akun manajemen Direktori Sumber Daya untuk membuat kebijakan kontrol akses kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses kustom.

    3. Gunakan akun manajemen Direktori Sumber Daya untuk melampirkan kebijakan kontrol akses kustom yang baru dibuat ke folder atau anggota dalam Direktori Sumber Daya. Untuk informasi lebih lanjut, lihat Lampirkan kebijakan kontrol akses kustom.

      Kebijakan kontrol akses dapat dilampirkan ke semua folder atau anggota dalam Direktori Sumber Daya. Jika dilampirkan ke folder, kebijakan juga berlaku untuk semua subfolder dari folder tersebut. Misalnya, jika Anda melampirkan Kebijakan A ke folder dan Kebijakan B ke salah satu subfoldernya, kedua kebijakan berlaku untuk subfolder dan semua anggota dalam subfolder tersebut.

      Catatan

      Disarankan untuk pertama-tama melampirkan kebijakan kontrol akses kustom hanya ke beberapa folder atau anggota untuk memeriksa apakah kebijakan berlaku sesuai harapan. Jika hasilnya sesuai, Anda dapat melampirkannya ke semua folder atau anggota lainnya dalam Direktori Sumber Daya.

    4. Ketika pengguna RAM atau Peran RAM dari anggota digunakan untuk mengakses layanan Alibaba Cloud, sistem mencocokkan permintaan akses dengan kebijakan kontrol akses kustom dan memverifikasi izin pengguna RAM atau Peran RAM. Berikut adalah rinciannya:

      • Sistem mencocokkan permintaan akses dengan kebijakan kontrol akses kustom tingkat demi tingkat dalam urutan terbalik berdasarkan Direktori Sumber Daya. Pencocokan dimulai dari anggota yang mengelola sumber daya yang ingin diakses oleh pengguna RAM atau Peran RAM.

      • Jika pernyataan Tolak dalam kebijakan kontrol akses cocok, sistem menghentikan pencocokan kebijakan kontrol akses, tidak memverifikasi izin pengguna RAM atau Peran RAM, dan menolak permintaan akses.

      • Jika tidak ada pernyataan Tolak atau Izinkan dalam kebijakan kontrol akses yang cocok, sistem menghentikan pencocokan kebijakan kontrol akses, tidak memverifikasi izin pengguna RAM atau Peran RAM, dan menolak permintaan akses.

      • Jika tidak ada pernyataan Tolak dalam kebijakan kontrol akses yang cocok tetapi pernyataan Izinkan cocok, sistem mencocokkan permintaan akses dengan kebijakan kontrol akses yang dilampirkan ke objek tingkat atas. Pencocokan berakhir ketika Folder Root cocok. Jika Folder Root lulus pencocokan, seluruh Direktori Sumber Daya lulus pencocokan. Kemudian, sistem memverifikasi izin pengguna RAM atau Peran RAM. Untuk informasi lebih lanjut, lihat Proses evaluasi kebijakan.

      • Kebijakan kontrol akses tidak berlaku untuk peran terkait layanan. Untuk informasi lebih lanjut tentang peran terkait layanan, lihat Peran terkait layanan.

      • Ketika menggunakan anggota, sistem mengevaluasi baik kebijakan kontrol akses yang dilampirkan ke anggota maupun kebijakan kontrol akses yang dilampirkan ke semua folder induknya. Ini memastikan bahwa kebijakan kontrol akses yang dilampirkan ke folder berlaku untuk semua anggota dalam folder dan semua anggota dalam subfolder dari folder tersebut.

      Penting

      Kebijakan kontrol akses yang dikonfigurasikan dalam Direktori Sumber Daya juga berlaku untuk semua pengguna RAM dan Peran RAM dalam anggota terkait dalam Direktori Sumber Daya. Namun, kebijakan tersebut tidak berlaku untuk pengguna root dari anggota. Selain itu, akun manajemen Direktori Sumber Daya berada di luar Direktori Sumber Daya dan tidak termasuk dalam Direktori Sumber Daya. Oleh karena itu, kebijakan kontrol akses juga tidak berlaku untuk semua identitas dalam akun manajemen.

    Konfigurasikan kebijakan kontrol akses kustom yang ada untuk mengizinkan akses dari layanan Alibaba Cloud tertentu

    Kebijakan kontrol akses kustom membatasi izin untuk mengakses sumber daya anggota yang mana kebijakan kontrol akses tersebut dilampirkan. Izin yang ditentukan dalam kebijakan kontrol akses dilarang. Akibatnya, beberapa layanan Alibaba Cloud mungkin gagal mengakses sumber daya.

    Layanan Alibaba Cloud mungkin menggunakan peran layanan untuk mengakses sumber daya akun Anda guna mengimplementasikan beberapa fitur. Jika izin peran layanan dilarang oleh kebijakan kontrol akses, beberapa fitur layanan tidak dapat digunakan. Jika ini adalah hasil yang Anda harapkan dari kebijakan kontrol akses, tidak diperlukan tindakan apa pun. Jika tidak, lakukan langkah-langkah berikut:

    1. Tentukan nama peran layanan yang digunakan oleh layanan yang tidak ingin Anda kontrol aksesnya.

      Anda dapat masuk ke Konsol RAM untuk melihat semua peran layanan akun Anda.

    2. Tambahkan kunci "acs:PrincipalARN" ke parameter Condition dalam dokumen kebijakan yang mengontrol akses dari layanan tersebut. Kemudian, tentukan nama peran yang telah ditentukan untuk kunci tersebut. Contoh kode berikut memberikan ilustrasi:

      {
    "Statement": [
        {
            "Action": [
                "ram:UpdateUser"
            ],
            "Resource": "*",
            "Effect": "Deny",         
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN":"acs:ram:*:*:role/<Nama peran layanan>"
               }
           }
        }
    ],
    "Version": "1"
}

      Untuk informasi lebih lanjut tentang sintaks kebijakan kontrol akses, lihat Bahasa kebijakan kontrol akses.

    Batasan

    Untuk informasi lebih lanjut, lihat Batasan pada Direktori Sumber Daya.

    Layanan Alibaba Cloud yang tidak mendukung fitur Kebijakan Kontrol

    • Microservices Engine (MSE) dari versi mesin tertentu mendukung fitur Kebijakan Kontrol.

      Untuk informasi lebih lanjut tentang versi mesin MSE, lihat Fitur edisi.

    • Aplikasi dan kluster berikut dalam ApsaraMQ for RocketMQ tidak mendukung fitur Kebijakan Kontrol:

      • Aplikasi mq-http tidak mendukung fitur Kebijakan Kontrol.

      • Aplikasi onsbroker tidak mendukung fitur Kebijakan Kontrol di wilayah berikut:

        • UEA (Dubai).

        • Cina (Shanghai): Kluster sh-share9 dan shvip-st21ujm8f01 di wilayah ini tidak mendukung fitur Kebijakan Kontrol.

        • Cina Utara 2 Ali Gov 1: Kluster beijing.gov.vip.v0h0ovmfp02, beijing.gov.vip.nif1zmrlf02, dan vip-cn-north-2-gov-1-45914plw301 di wilayah ini tidak mendukung fitur Kebijakan Kontrol.