Gunakan tag untuk mengontrol akses ke sumber daya - Resource Management

Layanan Tag dapat bekerja sama dengan Resource Access Management (RAM) untuk menerapkan manajemen izin yang lebih rinci. Setelah menambahkan tag ke sumber daya, Anda dapat membuat kebijakan kustom RAM, menentukan tag yang diizinkan dalam kebijakan tersebut, dan melampirkannya ke identitas RAM (pengguna atau peran). Dengan cara ini, identitas RAM hanya dapat mengakses dan mengelola sumber daya yang telah ditandai. Otorisasi berbasis tag lebih fleksibel dan mudah diperluas. Jika ada sumber daya baru, Anda cukup mengedit tag tanpa harus memodifikasi kebijakan. Topik ini menjelaskan cara menggunakan tag untuk mengontrol izin akses pengguna RAM.

Jenis sumber daya yang mendukung otorisasi berbasis tag

Masuk ke Konsol Manajemen Sumber Daya. Di halaman Tag, klik Resource Types Supported by Tag di pojok kanan atas. Pada halaman yang muncul, lihat kolom Tag Ram Support untuk memeriksa apakah jenis sumber daya mendukung otorisasi berbasis tag.

Prinsip

Gambar berikut menunjukkan logika pembatasan izin pengguna RAM berdasarkan tag.

Anda dapat menggunakan elemen Condition untuk menentukan tag yang diizinkan dalam kebijakan kustom. Tabel berikut mencantumkan kondisi yang didukung oleh Tag.

Kondisi	Deskripsi
`acs:RequestTag/<tag-key>`	Tag yang dilewatkan dalam permintaan. Kunci kondisi ini menunjukkan bahwa Anda harus menentukan tag dalam permintaan saat memanggil operasi API. `<tag-key>` menentukan kunci tag. Ganti dengan nilai sebenarnya.
`acs:ResourceTag/<tag-key>`	Tag yang ditambahkan ke sumber daya yang diminta. Kunci kondisi ini menunjukkan bahwa sumber daya tempat Anda melakukan operasi harus memiliki tag tersebut. `<tag-key>` menentukan kunci tag. Ganti dengan nilai sebenarnya.

Prosedur

Buat tag dan tambahkan ke sumber daya.
Anda dapat membuat tag dan menambahkannya ke sumber daya di halaman Tag dari Konsol Manajemen Sumber Daya, di halaman Pencarian Sumber Daya atau Pencarian Sumber Daya Lintas Akun dari Konsol Manajemen Sumber Daya, atau di konsol layanan Alibaba Cloud lainnya. Untuk informasi lebih lanjut tentang cara membuat tag dan menambahkannya ke sumber daya di halaman Tag, lihat Buat Tag dan Tambahkan Tag.
Buat kebijakan kustom.
Buat kebijakan kustom di konsol RAM dan konfigurasikan kondisi untuk otorisasi berbasis tag di elemen Condition kebijakan. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Sebagai contoh, kebijakan berikut mengizinkan operasi manajemen pada instance Elastic Compute Service (ECS) yang memiliki tag owner:alice dan environment:production.
```
{
	"Effect": "Allow",
	"Action": "ecs:*",
	"Resource": "*",
	"Condition": {
		"StringEquals": {
			"acs:ResourceTag/owner": [
				"alice"
			],
			"acs:ResourceTag/environment": [
				"production"
			]
		}
	}
}
```
Buat pengguna RAM dan berikan izin kepada pengguna RAM.
Buat pengguna RAM di konsol RAM dan tambahkan kebijakan kustom ke pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM dan Berikan Izin kepada Pengguna RAM.

Praktik terbaik

Layanan Alibaba Cloud	Contoh otorisasi berbasis tag
ECS	Gunakan tag untuk memungkinkan pengguna RAM mengelola hanya instance ECS yang diizinkan Gunakan tag untuk memberikan akses ke instance ECS berdasarkan grup Gunakan tag untuk mengontrol pelaksanaan perintah Cloud Assistant
Elastic Container Instance	Gunakan tag untuk mengotentikasi pengguna RAM
Auto Scaling	Kelola sumber daya Auto Scaling melalui otentikasi berbasis tag
Server Migration Center (SMC)	Gunakan tag untuk menerapkan kontrol akses yang lebih rinci
ApsaraDB RDS	Gunakan tag untuk memberikan akses ke instance ApsaraDB RDS berdasarkan grup