全部产品
Search

搜索本产品

    Resource Orchestration Service:Gunakan RAM untuk mengontrol akses ke sumber daya

    文档中心

    Resource Orchestration Service:Gunakan RAM untuk mengontrol akses ke sumber daya

    更新时间:Jul 02, 2025

    Resource Access Management (RAM) adalah layanan dari Alibaba Cloud yang memungkinkan Anda mengelola identitas pengguna dan mengontrol akses ke sumber daya. Anda dapat membuat pengguna RAM dan memberikan otorisasi kepada mereka untuk melakukan operasi pada sumber daya. Saat beberapa pengguna di perusahaan Anda perlu mengelola sumber daya secara kolaboratif, Anda dapat memberikan izin minimum yang diperlukan dengan menggunakan RAM. Hal ini membantu menjaga kerahasiaan akun dan kata sandi Alibaba Cloud serta mengurangi risiko terhadap data.

    Buat pengguna RAM dan berikan izin kepada pengguna RAM

    Lampirkan kebijakan sistem ke pengguna RAM

    1. Masuk ke Konsol RAM menggunakan akun Alibaba Cloud.

    2. Di panel navigasi sebelah kiri, klik Settings untuk mengonfigurasi pengaturan dasar.

      Anda dapat mengonfigurasi pengaturan keamanan untuk pengguna RAM. Untuk informasi lebih lanjut, lihat Kelola Pengaturan Keamanan Pengguna RAM.

    3. Di panel navigasi sebelah kiri, pilih Identities > Users. Di halaman Pengguna, klik Buat Pengguna. Di halaman Buat Pengguna, buat pengguna RAM dan konfigurasikan kata sandi logon serta pasangan AccessKey untuk pengguna tersebut.

      Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

    4. Di halaman Users, temukan pengguna RAM yang diinginkan dan lampirkan kebijakan sistem ke pengguna tersebut.

      Catatan

      • Untuk memberikan izin baca-saja pada Resource Orchestration Service (ROS) kepada pengguna RAM, lampirkan kebijakan AliyunROSReadOnlyAccess ke pengguna RAM.

      • Untuk memberikan semua izin pada ROS kepada pengguna RAM, lampirkan kebijakan AliyunROSFullAccess ke pengguna RAM.

    Lampirkan kebijakan kustom ke pengguna RAM

    1. Di panel navigasi sebelah kiri, pilih Permissions > Policies. Di halaman Kebijakan, klik Buat Kebijakan untuk membuat kebijakan kustom.

      Anda dapat melampirkan kebijakan kustom ke pengguna RAM untuk mengizinkan mereka melakukan operasi pada tumpukan. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.

      Kebijakan dapat berisi beberapa pernyataan. Anda harus menentukan elemen tindakan dan sumber daya untuk setiap pernyataan. Untuk informasi lebih lanjut tentang elemen tindakan dan sumber daya yang dapat ditentukan untuk ROS, lihat Jenis Sumber Daya ROS yang Dapat Diberi Otorisasi.

    2. Di panel navigasi sebelah kiri, pilih Identities > Users. Di halaman yang muncul, temukan pengguna RAM yang diinginkan dan lampirkan kebijakan kustom ke pengguna tersebut.

      Catatan

      Anda juga dapat melampirkan kebijakan kustom ke grup pengguna RAM. Jika Anda memberikan izin ke grup pengguna RAM, semua pengguna dalam grup akan memiliki izin tersebut.

    Contoh kebijakan kustom untuk ROS

    • Contoh 1: Lihat Tumpukan

      Kebijakan berikut memungkinkan pengguna RAM untuk melihat semua tumpukan yang diterapkan di wilayah China (Beijing) beserta detailnya. Karakter wildcard (*) mencakup semua tumpukan yang diterapkan di wilayah China (Beijing).

      {
  "Statement": [
    {
      "Action": [
        "ros:DescribeStacks",
        "ros:DescribeStackDetail"
      ],
      "Effect": "Allow",
      "Resource": "acs:ros:cn-beijing:*:stack/*"
    }
  ],
  "Version": "1"
}

    • Contoh 2: Buat dan Lihat Tumpukan

      Kebijakan berikut memungkinkan pengguna RAM untuk membuat dan melihat tumpukan di semua wilayah:

      {
  "Statement": [
    {
      "Action": [
        "ros:CreateStack",
        "ros:DescribeStacks",
        "ros:DescribeStackDetail",
        "ros:ValidateTemplate"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

    • Contoh 3: Perbarui Tumpukan

      Kebijakan berikut memungkinkan pengguna RAM dengan ID 12345**** untuk memperbarui tumpukan dengan ID 94dd5431-2df6-4415-81ca-732a7082****:

      {
  "Statement": [
    {
      "Action": [
        "ros:UpdateStack"
      ],
      "Effect": "Allow",
      "Resource": "acs:ros:cn-beijing:12345****:stack/94dd5431-2df6-4415-81ca-732a7082****"
    }
  ],
  "Version": "1"
}

    • Contoh 4: Akses Semua Fitur dan Sumber Daya Hanya dari ROS

      Kebijakan berikut memungkinkan pengguna RAM untuk mengakses semua fitur dan sumber daya hanya dari ROS menggunakan Konsol Manajemen Alibaba Cloud atau API dari blok CIDR 42.120.XX.XX/24 melalui HTTPS. Kebijakan ini berlaku terlepas dari apakah Anda menggunakan Layanan Token Keamanan Alibaba Cloud (STS) untuk memberikan izin akses sementara pada ROS. Kebijakan ini mencakup parameter berikut:

      • acs:SourceIp: Nilainya diatur ke 42.120.XX.XX/24. Nilai ini menunjukkan bahwa fitur dan sumber daya diakses dari blok CIDR 42.120.XX.XX/24.

      • acs:SecureTransport: Nilainya diatur ke true. Nilai ini menunjukkan bahwa fitur dan sumber daya diakses melalui HTTPS.

      {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ros:*",
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "42.120.XX.XX/24"
        },
        "Bool": {
          "acs:SecureTransport": "true"
        }
      }
    }
  ],
  "Version": "1"
}

    • Contoh 5: Akses Semua Fitur dan Sumber Daya ROS dan Apakah Mengakses ECS

      • Jika Anda menggunakan STS untuk memberikan izin akses sementara pada ROS, Anda tidak dapat menentukan parameter acs:SourceIp dan acs:SecureTransport dalam mode pass-through. Dalam hal ini, Anda dapat melampirkan kebijakan berikut ke pengguna RAM sehingga mereka dapat mengakses semua fitur dan sumber daya ROS menggunakan Konsol Manajemen Alibaba Cloud atau dengan memanggil operasi API Alibaba Cloud dari blok CIDR 42.120.XX.XX/24 melalui HTTPS. Kebijakan ini tidak mengizinkan pengguna RAM untuk mengakses layanan lainnya, termasuk Elastic Compute Service (ECS).

      • Jika Anda tidak menggunakan STS untuk memberikan izin akses sementara pada ROS, Anda dapat melampirkan kebijakan berikut ke pengguna RAM. Dengan cara ini, pengguna RAM dapat mengakses semua fitur dan sumber daya ROS dan ECS menggunakan Konsol Manajemen Alibaba Cloud atau API dari blok CIDR 42.120.XX.XX/24 melalui HTTPS. Kebijakan ini tidak mengizinkan pengguna RAM untuk mengakses layanan lainnya.

        Catatan

        Jika Anda tidak menggunakan STS untuk memberikan izin akses sementara pada ROS, Anda dapat menentukan parameter acs:SourceIp dan acs:SecureTransport dalam mode pass-through untuk mengizinkan akses ke layanan berikut: ECS, Virtual Private Cloud (VPC), Server Load Balancer (SLB), ApsaraDB RDS, Tair (Redis OSS-compatible), Alibaba Cloud DNS PrivateZone, Container Service for Kubernetes (ACK), Function Compute, Object Storage Service (OSS), Simple Log Service (SLS), API Gateway, dan ActionTrail.

        {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ros:*",
        "ecs:*"
      ],
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "42.120.XX.XX/24"
        },
        "Bool": {
          "acs:SecureTransport": "true"
        }
      }
    }
  ],
  "Version": "1"
}

    • Contoh 6: Akses dan Kelola Sumber Daya ROS Menggunakan Otentikasi Berbasis Tag

      Kebijakan berikut memungkinkan pengguna RAM untuk mengelola sumber daya ROS yang ditambahkan dengan tag {"Enviroment": "TEST"}:

      {
  "Statement": [
    {
      "Action": "ros:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "acs:ResourceTag/Enviroment": "TEST"
        }
      }
    }
  ],
  "Version": "1"
}