Identitas dan izin - Security Center

Topik ini menjelaskan konsep identitas dan izin dalam layanan Alibaba Cloud.

Identitas

Identitas di Alibaba Cloud diklasifikasikan sebagai entitas fisik dan entitas virtual.

Entitas fisik

Entitas fisik memiliki ID tetap dan kredensial identitas. Entitas ini mewakili seseorang, perusahaan, atau aplikasi. Kredensial identitas dari entitas fisik dapat berupa kata sandi logon atau pasangan AccessKey. Contoh entitas fisik meliputi akun Alibaba Cloud dan Pengguna Resource Access Management (RAM). Entitas fisik dapat mengakses sumber daya Alibaba Cloud dengan cara berikut:

Mengakses sumber daya cloud melalui konsol menggunakan nama pengguna dan kata sandi, atau metode otentikasi multi-faktor (MFA).
Mengakses sumber daya cloud menggunakan pasangan AccessKey.

Akun Alibaba Cloud dan pengguna RAM memiliki fitur yang berbeda. Perhatikan hal-hal berikut sebelum mengakses sumber daya Alibaba Cloud.

Akun Alibaba Cloud

Fitur

Akun Alibaba Cloud memiliki izin root atau administrator pada sistem operasi sumber daya cloud.
Akun Alibaba Cloud memiliki kontrol penuh atas semua sumber daya yang dibeli di bawah akun tersebut, dengan tagihan digabungkan di bawah akun tersebut.

Catatan penggunaan

Untuk alasan keamanan, disarankan agar Anda tidak menggunakan akun Alibaba Cloud untuk langsung mengelola sumber daya cloud.

Sebagai gantinya, gunakan akun Alibaba Cloud untuk membuat Pengguna RAM dan berikan izin administrator kepada Pengguna RAM (selanjutnya disebut sebagai pengguna administratif). Kemudian, gunakan pengguna administratif untuk membuat dan mengelola Pengguna RAM lainnya.

Pengguna RAM

Fitur

Sebelum Pengguna RAM dapat masuk ke konsol layanan cloud atau memanggil Operasi API, ia harus diberi otorisasi oleh akun Alibaba Cloud atau pengguna administratif. Setelah diberi otorisasi, Pengguna RAM dapat mengelola sumber daya yang dimiliki oleh akun Alibaba Cloud.
Pengguna RAM tidak memiliki sumber daya dan tidak dapat ditagih secara independen. Tagihan yang dihasilkan oleh Pengguna RAM digabungkan ke akun Alibaba Cloud tempat Pengguna RAM tersebut berada. Pengguna RAM hanya dapat dilihat di dalam akun Alibaba Cloud tempat mereka berada.

Catatan penggunaan

Pengguna RAM mewakili entitas fisik yang mengelola sumber daya cloud, seperti insinyur O&M atau aplikasi. Disarankan untuk menggunakan Pengguna RAM untuk mengakses dan mengelola sumber daya cloud.

Catatan

Anda dapat menggunakan Grup Pengguna RAM untuk mengkategorikan dan memberi otorisasi kepada Pengguna RAM. Ini membantu mengelola Pengguna RAM dan izin mereka secara efisien.

Entitas virtual

Entitas virtual tidak memiliki kredensial identitas tetap, seperti kata sandi logon atau pasangan AccessKey. Peran RAM dianggap sebagai entitas virtual. Anda perlu mengasumsikan Peran RAM dengan Pengguna RAM dari akun Alibaba Cloud tepercaya sebelum menggunakan Peran RAM. Setelah menggunakan entitas tepercaya untuk mengasumsikan Peran RAM, Anda akan mendapatkan Token Layanan Keamanan (STS) dari Peran RAM. Kemudian, Anda dapat menggunakan Token STS untuk mengakses sumber daya yang memiliki izin Peran RAM.

Peran RAM diklasifikasikan menjadi tiga jenis berdasarkan entitas tepercaya.

Entitas tepercaya	Deskripsi	Referensi
Akun Alibaba Cloud	Jenis Peran RAM ini digunakan untuk akses lintas akun dan otorisasi sementara. Ini hanya dapat diasumsikan oleh Pengguna RAM yang termasuk dalam akun Alibaba Cloud tepercaya. Akun Alibaba Cloud tepercaya bisa berupa akun Alibaba Cloud saat ini atau akun Alibaba Cloud lainnya.	Buat Peran RAM untuk akun Alibaba Cloud tepercaya
Layanan Alibaba Cloud	Jenis Peran RAM ini digunakan untuk mengotorisasi akses antar layanan Alibaba Cloud. Ini hanya dapat diasumsikan oleh layanan Alibaba Cloud tepercaya.	Buat Peran RAM untuk layanan Alibaba Cloud tepercaya
Penyedia Identitas (IdP)	Jenis Peran RAM ini digunakan untuk mengimplementasikan Single Sign-On (SSO) berbasis peran antara Alibaba Cloud dan IdP tepercaya. Ini hanya dapat diasumsikan oleh pengguna dari IdP tepercaya.	Buat Peran RAM untuk IdP tepercaya

Izin

Izin digunakan untuk mengontrol akses berbagai identitas pengguna ke sumber daya tertentu. Anda dapat menggunakan izin untuk mengizinkan atau menolak operasi tertentu pada sumber daya tertentu.

Izin entitas fisik

Entitas fisik

Izin default

Otorisasi

Deskripsi

Akun Alibaba Cloud

Izin penuh pada sumber daya

Tidak diperlukan.

Akun Alibaba Cloud memiliki kontrol dan izin penuh atas sumber daya yang dimilikinya. Pengguna lain, seperti Pengguna RAM, hanya dapat mengakses sumber daya setelah diberi otorisasi oleh akun Alibaba Cloud.

Pengguna RAM

Tidak ada

Pengguna RAM hanya dapat mengakses dan menggunakan sumber daya cloud di konsol atau dengan memanggil Operasi API setelah mereka diberi otorisasi.

Alibaba Cloud mengimplementasikan otorisasi dengan melampirkan kebijakan ke identitas RAM. Kebijakan mendefinisikan satu set izin yang dijelaskan berdasarkan struktur dan sintaksis kebijakan. Anda dapat menggunakan kebijakan untuk menggambarkan set sumber daya yang diberi otorisasi, set operasi yang diberi otorisasi, dan kondisi otorisasi.

RAM mendukung dua jenis kebijakan berikut:

Kebijakan sistem: dibuat dan dikelola oleh Alibaba Cloud. Anda dapat menggunakan kebijakan ini sedangkan Anda tidak dapat memodifikasi kebijakan tersebut.
Kebijakan kustom: dibuat dan dikelola oleh pelanggan.

Anda dapat melampirkan kebijakan ke Pengguna RAM atau Grup Pengguna RAM untuk memberikan izin akses yang ditentukan dalam kebijakan tersebut. Untuk informasi lebih lanjut, lihat Berikan izin kepada Pengguna RAM atau Berikan izin kepada Grup Pengguna RAM.

Izin entitas virtual

Peran RAM di Alibaba Cloud tidak memiliki izin apa pun secara default.

Peran RAM hanya dapat mengakses dan menggunakan sumber daya cloud di konsol atau dengan memanggil Operasi API setelah diasumsikan oleh entitas tepercaya dan diberi otorisasi.

Anda dapat melampirkan kebijakan ke Peran RAM untuk memberikan izin akses yang ditentukan dalam kebijakan tersebut. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Peran RAM.

Referensi

Untuk informasi lebih lanjut tentang layanan Alibaba Cloud yang mendukung RAM dan kebijakan sistem yang sesuai, lihat Layanan yang Bekerja dengan RAM.
Untuk informasi lebih lanjut tentang elemen dasar kebijakan dan sintaksis yang didukung oleh RAM, lihat Elemen Dasar Kebijakan dan Struktur dan Sintaksis Kebijakan.