Berikan izin kepada Pengguna RAM - Serverless App Engine

Anda dapat menggunakan Resource Access Management (RAM) untuk mengelola izin secara terpisah dari akun utama Alibaba Cloud Anda. Memberikan hak istimewa minimal kepada pengguna RAM membantu Anda menghindari paparan pasangan AccessKey akun Anda dan mengurangi risiko keamanan. Topik ini menjelaskan cara membuat pengguna RAM untuk akun Alibaba Cloud dan memberikan izin yang diperlukan kepada pengguna tersebut.

Skenario yang berlaku

Sebuah perusahaan, Perusahaan A, ingin mengizinkan beberapa karyawannya menangani tugas O&M rutin. Dalam hal ini, Perusahaan A dapat membuat pengguna RAM dan memberi mereka izin yang diperlukan. Karyawan kemudian dapat masuk ke SAE Konsol sebagai pengguna RAM. SAE memungkinkan Perusahaan A menggunakan pengguna RAM untuk mengelola izin. Perusahaan A juga dapat mengelola konsol mana yang diizinkan bagi pengguna RAM untuk masuk. Berikut adalah skenario umum:

Untuk tujuan keamanan, Perusahaan A tidak ingin mengekspos pasangan AccessKey akun Alibaba Cloud-nya kepada karyawan. Sebagai gantinya, Perusahaan A membuat pengguna RAM terpisah untuk karyawannya dan memberikan izin berbeda kepada setiap pengguna.
Pengguna RAM hanya dapat mengelola sumber daya setelah mereka diberi izin. Penggunaan sumber daya tidak ditagihkan kepada pengguna RAM individu. Semua biaya dibebankan ke akun Alibaba Cloud Perusahaan A.
Perusahaan A dapat mencabut izin pengguna RAM atau menghapus pengguna RAM kapan saja.

Langkah 1: Buat pengguna RAM

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki hak administratif.
Di panel navigasi di sebelah kiri, pilih Identities > Users.
Di halaman Users, klik Create User.
Di halaman Create User, konfigurasikan informasi pengguna di bagian User Account Information.
- Logon Name: Nama masuk dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_). Panjangnya bisa hingga 64 karakter.
- Display Name: Nama tampilan bisa hingga 128 karakter panjangnya.
- Tag: Klik ikon , lalu masukkan kunci tag dan nilai tag. Tag membantu Anda mengategorikan dan mengelola pengguna RAM.
Catatan
Klik Add User untuk membuat beberapa pengguna RAM sekaligus.
Di bagian Access Mode, pilih mode akses dan atur parameter yang sesuai.
Untuk keamanan yang lebih baik, kami sarankan Anda membuat pengguna terpisah untuk individu dan aplikasi. Untuk menjaga pemisahan ini, pilih hanya satu mode akses untuk setiap pengguna.
- Console Access
  Untuk pengguna individu, kami sarankan Anda mengaktifkan akses konsol. Ini memungkinkan mereka masuk ke Konsol Manajemen Alibaba Cloud menggunakan nama pengguna dan kata sandi. Anda perlu mengonfigurasi parameter berikut:
  - Logon Password: Anda dapat memilih untuk menghasilkan kata sandi secara otomatis atau menetapkan kata sandi kustom. Jika Anda menetapkan kata sandi kustom, itu harus mematuhi aturan kompleksitas kata sandi. Untuk informasi lebih lanjut, lihat Tetapkan kebijakan kata sandi untuk pengguna RAM.
  - Password Reset Required: Pilih apakah pengguna RAM harus mereset kata sandi mereka saat masuk berikutnya.
  - Multi-factor Authentication (MFA): Pilih apakah akan mengaktifkan MFA untuk pengguna RAM. Jika Anda mengaktifkan MFA, Anda juga harus mengikat perangkat MFA. Untuk informasi lebih lanjut, lihat Ikat perangkat MFA ke pengguna RAM.
- Accessing with a permanent AccessKey
  Jika pengguna RAM mewakili aplikasi, Anda dapat menggunakan pasangan AccessKey permanen untuk akses programatik ke Alibaba Cloud. Setelah Anda mengaktifkan opsi ini, sistem secara otomatis membuat ID AccessKey dan Rahasia AccessKey untuk pengguna RAM. Untuk informasi lebih lanjut, lihat Buat pasangan AccessKey.
  Penting
  Rahasia AccessKey hanya ditampilkan sekali selama pembuatan dan tidak dapat diambil nanti. Anda harus menyimpannya di lokasi yang aman.
  Pasangan AccessKey adalah kredensial jangka panjang untuk akses programatik. Jika pasangan AccessKey bocor, keamanan semua sumber daya di akun Anda berisiko. Kami sarankan Anda menggunakan Token Layanan Keamanan (STS) sebagai gantinya untuk mengurangi risiko kebocoran kredensial. Untuk informasi lebih lanjut, lihat Praktik terbaik untuk menggunakan kredensial akses untuk memanggil operasi OpenAPI.
Klik OK.

Langkah 2: Berikan izin kepada pengguna RAM

Setelah Anda memberikan izin kepada pengguna RAM, pengguna tersebut dapat mengakses sumber daya Alibaba Cloud yang sesuai. Bagian ini menggunakan halaman Pengguna untuk mendemonstrasikan cara memberikan izin. Untuk informasi lebih lanjut tentang cara lain untuk memberikan izin, lihat Berikan izin kepada pengguna RAM.

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi di sebelah kiri, pilih Identities > Users.
Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku pada akun Alibaba Cloud saat ini.
  - ResourceGroup: Otorisasi berlaku pada kelompok sumber daya tertentu.
    Penting
    Jika Anda memilih Kelompok Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan layanan cloud yang diperlukan mendukung kelompok sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Kelompok Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada kelompok sumber daya, lihat Gunakan kelompok sumber daya untuk memberikan izin kepada pengguna RAM untuk mengelola instance ECS tertentu.
2. Konfigurasikan parameter Pihak yang Berwenang.
  Pihak yang berwenang adalah pengguna RAM yang ingin Anda beri izin. Pengguna RAM saat ini dipilih secara otomatis.
3. Konfigurasikan parameter Kebijakan.
  Kebijakan berisi satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakannya tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan Alibaba Cloud yang mendukung RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami sarankan Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
4. Klik Grant permissions.
Klik Close.

Apa yang harus dilakukan selanjutnya

Karyawan Perusahaan A dapat menggunakan salah satu metode berikut untuk mengakses SAE sebagai pengguna RAM.

Metode 1: Gunakan Konsol.
1. Pergi ke portal masuk pengguna RAM.
2. Di halaman Log On With RAM User, masukkan nama pengguna pengguna RAM, klik Next, masukkan kata sandi, dan kemudian klik Log On.
  Catatan
  Nama masuk pengguna RAM dalam format <$username>@<$AccountAlias> atau <$username>@<$AccountAlias>.onaliyun.com. <$AccountAlias> adalah alias akun. Jika Anda tidak menetapkan alias akun, ID akun Alibaba Cloud Anda digunakan secara default. Untuk informasi lebih lanjut, lihat Masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM.
3. Di kotak pencarian di bagian atas Konsol Manajemen Alibaba Cloud, masukkan Serverless App Engine dan klik layanan untuk pergi ke Konsol SAE.
Metode 2: Panggil API.
Gunakan ID AccessKey dan Rahasia AccessKey pengguna RAM di kode Anda untuk memanggil operasi API dan mengakses SAE.