Server Load Balancer menggunakan Resource Access Management (RAM) Alibaba Cloud untuk mengontrol siapa yang dapat mengakses sumber daya cloud Anda dan operasi apa yang dapat mereka lakukan.
RAM users
RAM users dapat dibuat menggunakan Akun Alibaba Cloud atau oleh RAM users dan RAM roles yang memiliki hak administratif. Setelah diberikan izin yang diperlukan, RAM user tersebut dapat mengakses sumber daya Alibaba Cloud dalam akun tempat ia berada melalui Alibaba Cloud Management Console atau dengan memanggil API.
Kami menyarankan hal-hal berikut:
Gunakan Akun Alibaba Cloud Anda untuk membuat RAM user dan berikan hak administratif kepadanya. RAM user tersebut kemudian dapat digunakan untuk membuat dan mengelola RAM users lainnya.
Pisahkan RAM users untuk individu dari RAM users untuk program.
Saat membuat RAM user, Anda dapat memilih Console Access, Using permanent AccessKey to access, atau keduanya untuk parameter Access Mode.
Untuk mengakses sumber daya, RAM user yang ditujukan untuk akses konsol masuk ke Alibaba Cloud Management Console menggunakan username dan password-nya, sedangkan RAM user yang ditujukan untuk akses berbasis pasangan AccessKey melakukan panggilan API. Untuk mencegah dampak dari operasi yang tidak disengaja, kami menyarankan agar Anda memisahkan RAM users untuk individu dari RAM users untuk program. Selain itu, aktifkan multi-factor authentication (MFA) untuk RAM user yang digunakan untuk akses konsol.
Berikan izin kepada RAM users berdasarkan prinsip least privilege.
Izin least-privilege merujuk pada izin minimum yang diperlukan untuk menjalankan suatu operasi. Penerapan prinsip ini meningkatkan keamanan data dan mencegah penyalahgunaan izin.
Jangan menyematkan ID AccessKey atau Rahasia AccessKey dalam kode untuk mencegah kebocoran pasangan AccessKey. Kebocoran tersebut menimbulkan risiko keamanan terhadap seluruh sumber daya dalam akun Anda. Sebagai gantinya, gunakan token Security Token Service (STS) atau konfigurasikan variabel lingkungan untuk memperoleh izin akses.
Jika memungkinkan, aktifkan single sign-on (SSO) untuk RAM users agar mereka dapat masuk dan mengakses sumber daya Alibaba Cloud dari sistem manajemen identitas perusahaan mereka.
Operasi terkait
RAM user groups
Jika Anda membuat beberapa RAM users menggunakan Akun Alibaba Cloud, kelompokkan RAM users tersebut untuk mempermudah pengelolaan izin. Misalnya, Anda dapat memberikan izin yang sama kepada semua anggota satu RAM user group. Kami menyarankan hal-hal berikut:
Berikan izin kepada RAM user groups berdasarkan prinsip least privilege.
Hapus RAM user dari RAM user group jika tugas kerjanya berubah.
Cabut izin dari RAM user groups jika kelompok tersebut tidak lagi memerlukan izin tersebut.
Operasi terkait
RAM roles
RAM role adalah jenis identitas RAM yang memiliki kebijakan terlampir. Berbeda dengan RAM user, role tidak terikat pada satu orang atau aplikasi tertentu—setiap principal tepercaya dapat mengasumsikan role tersebut. Role tidak memiliki kredensial jangka panjang seperti password atau pasangan AccessKey. Saat sebuah principal mengasumsikan role, Security Token Service (STS) menghasilkan kredensial keamanan sementara yang hanya berlaku selama sesi tersebut.
Kami menyarankan hal-hal berikut:
Hindari sering mengubah entitas tepercaya dari RAM role setelah role tersebut dibuat. Perubahan entitas tepercaya dapat menyebabkan kehilangan izin yang berdampak pada bisnis Anda atau menimbulkan risiko keamanan akibat privilege escalation. Pastikan perubahan tersebut telah diuji secara menyeluruh sebelum diterapkan.
Setelah entitas tepercaya diberikan izin, entitas tersebut dapat memanggil operasi AssumeRole untuk memperoleh token STS yang digunakan untuk mengasumsikan RAM role. Untuk informasi lebih lanjut, lihat AssumeRole. Token STS hanya berlaku selama periode waktu tertentu. Kami menyarankan agar Anda mengatur periode validitas ke nilai yang sesuai untuk mengurangi risiko keamanan.
CatatanPeriode validitas maksimum token STS ditentukan oleh durasi sesi maksimum yang dikonfigurasi untuk RAM role tersebut. Untuk mengurangi risiko keamanan, atur durasi sesi maksimum RAM role ke nilai yang sesuai.
Jika memungkinkan, aktifkan SSO untuk RAM roles agar mereka dapat masuk dan mengakses sumber daya Alibaba Cloud dari sistem manajemen identitas perusahaan mereka.