全部产品
Search

搜索本产品

    Serverless App Engine:Pengelolaan Izin

    文档中心

    Serverless App Engine:Pengelolaan Izin

    更新时间:Nov 10, 2025

    Serverless App Engine (SAE) mengimplementasikan pengelolaan izin melalui Alibaba Cloud Resource Access Management (RAM). Fitur ini memungkinkan Anda mengisolasi dan mengontrol akses ke data sumber daya, memastikan keamanan data. Topik ini menjelaskan skenario aplikasi dan implementasi fungsi pengelolaan izin SAE, menggunakan operasi bisnis harian perusahaan sebagai contoh.

    Gambaran fitur

    • Untuk memahami secara sistematis pengelolaan izin SAE, Anda dapat mempelajari fitur izin terkait SAE langkah demi langkah melalui contoh skenario aplikasi dalam topik ini. Untuk informasi lebih lanjut, lihat Informasi Latar Belakang dan Skenario Bisnis.

    • Jika Anda sudah familiar dengan fitur pengelolaan izin, Anda dapat menemukan informasi terkait di topik berikut sesuai kebutuhan:

      • Kebijakan Izin dan Contohnya: menjelaskan konsep dasar kebijakan izin, kebijakan izin yang didukung oleh SAE, serta contoh kebijakan izin.

      • Asisten Izin SAE: menjelaskan cara menghasilkan pernyataan izin melalui alat asisten izin SAE untuk menyederhanakan pengaturan kebijakan kustom.

      • Memberikan Izin kepada Pengguna RAM: menjelaskan cara membuat Pengguna RAM dan memberikan izin kepada mereka sesuai kebutuhan.

      • Memberikan Izin kepada Peran RAM: menjelaskan cara membuat Peran RAM dan memberikan izin kepada mereka, memungkinkan akses ke sumber daya yang diizinkan menggunakan token keamanan dengan identitas peran.

      • Manajemen Kontak: menjelaskan cara menetapkan aturan izin untuk kontak tertentu, mengirim notifikasi, dan lainnya.

      • Persetujuan Operasi: menjelaskan cara menetapkan proses persetujuan untuk fitur penting platform SAE untuk menerapkan kontrol halus atas izin operasi.

      • Peran Terkait Layanan: menjelaskan bagaimana SAE mendapatkan izin akses ke sumber daya cloud lainnya melalui peran terkait layanan.

    Informasi latar belakang

    Aplikasi yang dihosting pada SAE mungkin mencakup beberapa layanan atau subsistem, yang mungkin dikembangkan dan dipelihara oleh tim atau anggota yang berbeda. SAE menyediakan sistem pengelolaan izin tingkat perusahaan melalui sistem akun dan serangkaian operasi pengelolaan izin. Ini membantu Anda mengisolasi dan mengontrol akses ke aplikasi, sumber daya, dan data untuk memastikan keamanan.

    Perusahaan A membeli layanan SAE melalui Akun Alibaba Cloud A (akun utama). Awalnya, beberapa karyawan di perusahaan berbagi akun ini. Seiring berkembangnya bisnis, lebih banyak karyawan ditambahkan, dan berbagi satu akun membuat sulit untuk membagi tanggung jawab dengan jelas serta menimbulkan risiko keamanan. Untuk menyelesaikan masalah ini, Perusahaan A menggunakan fitur RAM untuk memberikan izin berbeda kepada karyawan yang berbeda dan memisahkan tagihan di antara departemen yang berbeda.

    dg_use_ram_before_and_after

    Skenario bisnis

    Skenario 1

    Perusahaan A ingin mengidentifikasi tanggung jawab karyawannya dan memberikan izin kepada mereka.

    Untuk mengidentifikasi tanggung jawab karyawannya, Perusahaan A dapat menggunakan Akun Alibaba Cloud A untuk membuat beberapa Pengguna RAM dan memberikan izin berbeda kepada pengguna ini. Kemudian, karyawan dapat menggunakan Pengguna RAM untuk mengakses sumber daya yang berbeda. Perusahaan A membeli sumber daya untuk menampung aplikasinya di SAE. Oleh karena itu, Perusahaan A harus terlebih dahulu memahami kebijakan izin dan contoh konfigurasi otorisasi SAE di RAM. RAM mendukung kebijakan berikut:

    • Kebijakan sistem dibuat dan diperbarui oleh Alibaba Cloud. Anda dapat menggunakan kebijakan ini tetapi tidak dapat memodifikasinya.

    • Kebijakan kustom: Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom serta memelihara pembaruannya.

    Dalam beberapa skenario, SAE perlu mendapatkan izin akses ke layanan cloud lainnya untuk menyelesaikan fungsi tertentu. Misalnya, jika Anda ingin mendapatkan informasi tentang sumber daya seperti virtual private clouds (VPC) saat Anda membuat aplikasi, Anda dapat menggunakan peran terkait layanan AliyunServiceRoleForSAE untuk mendapatkan izin yang diperlukan untuk mengakses layanan terkait seperti VPC.

    Untuk informasi lebih lanjut, lihat Kebijakan Izin dan Contohnya dan Peran Terkait Layanan.

    Skenario 2

    Perusahaan A ingin memberikan izin halus kepada karyawannya.

    Setelah mempelajari kebijakan izin, Perusahaan A percaya bahwa ia dapat terlebih dahulu menetapkan izin sistem untuk karyawan, yaitu izin umum yang biasa digunakan, seperti izin baca untuk sumber daya SAE. Jika kebijakan sistem tidak memenuhi persyaratan bisnis, Perusahaan A dapat membuat kebijakan kustom untuk menerapkan kontrol akses halus.

    Saat mengonfigurasi kebijakan kustom, asisten izin SAE dapat menyederhanakan pekerjaan pengeditan skrip awal. Perusahaan A dapat menyalin skrip lengkap yang dihasilkan secara otomatis ke Konsol RAM, membuat kebijakan kustom yang sesuai, dan memberikannya kepada Pengguna RAM. Ini secara efektif menghindari kesalahan yang mungkin terjadi saat beroperasi langsung di Konsol RAM.

    Untuk informasi lebih lanjut, lihat Asisten Izin SAE.

    Skenario 3

    Perusahaan A ingin membuat Pengguna RAM untuk karyawannya dan memberikan izin kepada Pengguna RAM tersebut.

    Setelah mempelajari kebijakan izin, Perusahaan A mencoba membuat Pengguna RAM dan memberikan izin yang diperlukan kepada pengguna ini untuk karyawan yang berbeda.

    Untuk informasi lebih lanjut, lihat Memberikan Izin kepada Pengguna RAM.

    Skenario 4

    Perusahaan A ingin berbagi beban kerja dengan perusahaan mitra. Dalam hal ini, Perusahaan A harus membuat Pengguna RAM dan memberikan izin kepada Pengguna RAM lintas akun.

    Perusahaan A telah membangun hubungan baik dengan Perusahaan B seiring berkembangnya bisnis, dan ingin memberi otorisasi kepada Perusahaan B untuk mengelola sebagian dari bisnisnya. Persyaratan Perusahaan A:

    • Perusahaan A ingin fokus pada sistem bisnisnya dan hanya bertindak sebagai pemilik sumber daya SAE. Perusahaan A ingin memberi otorisasi kepada Perusahaan B untuk mengelola beberapa layanan, seperti penerbitan aplikasi, manajemen aplikasi, elastisitas otomatis, satu klik mulai dan hentikan aplikasi, serta pemantauan aplikasi.

    • Setiap kali karyawan bergabung atau meninggalkan Perusahaan B, Perusahaan A tidak perlu mengubah pengaturan izin. Perusahaan B dapat lebih lanjut menetapkan izin akses sumber daya Perusahaan A kepada Pengguna RAM Perusahaan B, dan dapat mengontrol secara halus izin akses dan operasi karyawan atau aplikasinya ke sumber daya.

    • Jika kontrak antara Perusahaan A dan Perusahaan B berakhir, Perusahaan A dapat mencabut izin dari Perusahaan B.

    Untuk informasi lebih lanjut, lihat Memberikan Izin kepada Peran RAM.

    Skenario 5

    Perusahaan A ingin mengelola setiap proses persetujuan akses.

    Perusahaan A telah menerapkan beberapa namespace di dalam Akun Alibaba Cloud A, termasuk lingkungan pengujian, lingkungan pengembangan, lingkungan staging, dan lingkungan online. Perusahaan A ingin mengontrol secara ketat akses ke sumber daya di lingkungan online. Pengembang yang tidak berwenang ditolak akses ke sumber daya di lingkungan online. Ini mencegah crash lingkungan. Perusahaan A dapat mengonfigurasi proses persetujuan akses dan menerima notifikasi persetujuan untuk melakukan kontrol akses halus pada izin operasi.

    Untuk informasi lebih lanjut, lihat Persetujuan Operasi dan Manajemen Kontak.