Server Load Balancer：Manajemen identitas

Pengguna RAM

Pengguna RAM dapat dibuat menggunakan akun Alibaba Cloud atau pengguna RAM dan peran RAM dengan hak administratif. Setelah diberi izin yang diperlukan, pengguna RAM dapat menggunakan Konsol Manajemen Alibaba Cloud atau memanggil API untuk mengakses sumber daya Alibaba Cloud dalam akun tempat pengguna RAM berada.

Perhatikan hal-hal berikut:

• Gunakan akun Alibaba Cloud untuk membuat pengguna RAM dan berikan hak administratif. Pengguna RAM ini kemudian dapat digunakan untuk membuat dan mengelola pengguna RAM lainnya.

• Pisahkan pengguna RAM individu dari pengguna RAM program.

  Saat membuat pengguna RAM, pilih Console Access, Using permanent AccessKey to access, atau keduanya untuk parameter Access Mode.

  Pengguna RAM dengan akses konsol masuk ke Konsol Manajemen Alibaba Cloud menggunakan nama pengguna dan kata sandi, sedangkan pengguna RAM dengan akses berbasis pasangan AccessKey melakukan panggilan API. Pisahkan pengguna RAM individu dari pengguna RAM program untuk mencegah dampak operasi tidak disengaja. Aktifkan otentikasi multi-faktor (MFA) untuk pengguna RAM dengan akses konsol.

• Berikan izin kepada pengguna RAM berdasarkan prinsip hak istimewa minimal.

  Hak istimewa minimal adalah izin minimum yang diperlukan untuk suatu operasi. Pendekatan ini meningkatkan keamanan data dan mencegah penyalahgunaan izin.

• Jangan sematkan ID AccessKey atau Rahasia AccessKey di dalam kode untuk mencegah kebocoran pasangan AccessKey. Kebocoran ini dapat menyebabkan risiko keamanan bagi semua sumber daya dalam akun Anda. Gunakan Token Layanan Keamanan (STS) atau konfigurasikan variabel lingkungan untuk mendapatkan izin akses.

• Aktifkan Single Sign-On (SSO) untuk pengguna RAM jika berlaku, agar mereka dapat masuk dan mengakses sumber daya Alibaba Cloud melalui sistem manajemen identitas perusahaan.

Grup pengguna RAM

Jika Anda membuat beberapa pengguna RAM menggunakan akun Alibaba Cloud, kelompokkan pengguna RAM tersebut untuk mempermudah pengelolaan izin. Misalnya, berikan izin yang sama kepada pengguna RAM dalam grup yang sama. Perhatikan hal-hal berikut:

• Berikan izin kepada grup pengguna RAM berdasarkan prinsip hak istimewa minimal.

• Hapus pengguna RAM dari grup jika tugas kerja mereka berubah.

• Cabut izin dari grup pengguna RAM jika izin tersebut tidak lagi diperlukan.

Peran RAM

Peran RAM adalah identitas virtual yang dapat memiliki kebijakan terlampir. Peran RAM tidak memiliki kredensial identitas permanen seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tepercaya memperoleh token Layanan Keamanan (STS) yang dapat digunakan untuk mengakses sumber daya Alibaba Cloud sebagai peran RAM.

Perhatikan hal-hal berikut:

• Hindari sering mengubah entitas tepercaya peran RAM setelah dibuat. Mengubah entitas tepercaya dapat menyebabkan hilangnya izin, yang memengaruhi bisnis Anda. Menambahkan entitas tepercaya dapat menimbulkan risiko keamanan karena peningkatan hak istimewa. Pastikan perubahan diuji sepenuhnya sebelum diterapkan.

• Setelah entitas tepercaya diberi izin, entitas tersebut dapat memanggil operasi AssumeRole untuk memperoleh token STS, yang digunakan untuk mengasumsikan peran RAM. Untuk informasi lebih lanjut, lihat AssumeRole. Token STS hanya valid untuk jangka waktu terbatas. Tetapkan periode validitas sesuai kebutuhan untuk mengurangi risiko keamanan.

  Catatan

  Masa berlaku maksimum token STS adalah durasi sesi maksimum yang ditentukan untuk peran RAM. Tetapkan durasi sesi maksimum sesuai kebutuhan untuk mengurangi risiko keamanan.

• Aktifkan SSO untuk peran RAM jika berlaku, agar peran RAM dapat masuk dan mengakses sumber daya Alibaba Cloud melalui sistem manajemen identitas perusahaan.