Anda dapat menggunakan peran Resource Access Management (RAM) untuk mengakses sumber daya di seluruh akun Alibaba Cloud. Topik ini menjelaskan cara membuat dan menggunakan peran RAM.
Ikhtisar solusi
Peran RAM adalah identitas virtual yang dapat memiliki kebijakan terlampir. Peran RAM tidak memiliki kredensial identitas permanen, seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah peran RAM diasumsikan oleh entitas tepercaya, entitas tersebut dapat memperoleh token Layanan Keamanan (STS). Kemudian, entitas tepercaya dapat menggunakan token STS untuk mengakses sumber daya Alibaba Cloud sebagai peran RAM.
Prosedur berikut menunjukkan bagaimana Perusahaan B menggunakan pengguna RAM-nya untuk mengasumsikan peran RAM dari Perusahaan A guna mengakses sumber daya Perusahaan A.
Buat peran RAM dengan menggunakan akun Alibaba Cloud dari Perusahaan A.
Lampirkan kebijakan ke peran RAM.
Buat pengguna RAM dengan menggunakan akun Alibaba Cloud dari Perusahaan B.
Lampirkan kebijakan AliyunSTSAssumeRoleAccess ke pengguna RAM.
Peroleh token Security Token Service (STS) dari peran RAM untuk mengakses sumber daya Perusahaan A.
Langkah 1: Buat peran RAM dengan menggunakan akun Alibaba Cloud dari Perusahaan A
Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.
Di panel navigasi sisi kiri, pilih .
Pada halaman Roles, klik Create Role.
Pada halaman Create Role, atur parameter Principal Type menjadi Cloud Account dan parameter Principal Name menjadi Other Account. Masukkan ID akun Alibaba Cloud dari Perusahaan B, lalu klik OK.
Di kotak dialog Create Role, konfigurasikan parameter Role Name. Contoh:
aliyunlogreadrole.
Langkah 2: Lampirkan kebijakan ke peran RAM
Setelah peran RAM dibuat, peran RAM tidak memiliki izin. Anda dapat memberikan izin kepada peran RAM. RAM menyediakan kebijakan sistem berikut untuk Layanan Log Sederhana. Kami merekomendasikan agar Anda hanya memberikan izin yang diperlukan kepada peran RAM berdasarkan prinsip hak istimewa minimal.
AliyunLogFullAccess: Kebijakan ini memberikan izin untuk mengelola semua sumber daya Layanan Log Sederhana.
AliyunLogReadOnlyAccess: Kebijakan ini memberikan izin baca-saja pada semua sumber daya Layanan Log Sederhana.
Jika kebijakan sistem tidak memenuhi persyaratan bisnis Anda, Anda dapat membuat kebijakan kustom untuk menerapkan kontrol akses granular. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom. Untuk informasi lebih lanjut tentang contoh kebijakan, lihat Contoh penggunaan kebijakan kustom untuk memberikan izin kepada pengguna RAM dan Gambaran Umum.
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih .
Pada halaman Roles, temukan peran RAM yang ingin Anda kelola dan klik Grant Permission di kolom Actions.
Anda juga dapat memilih beberapa peran RAM dan klik Grant Permission di bagian bawah daftar peran RAM untuk memberikan izin kepada beberapa peran RAM sekaligus.
Di panel Grant Permission, pilih kebijakan yang diperlukan dan klik Grant permissions. Dalam contoh ini, kebijakan AliyunLogReadOnlyAccess dipilih.
Klik Close.
Langkah 3: Buat pengguna RAM dengan menggunakan akun Alibaba Cloud dari Perusahaan B
Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM dengan hak administratif.
Di panel navigasi sisi kiri, pilih .
Pada halaman Users, klik Create User.
Di bagian User Account Information dari halaman Create User, konfigurasikan parameter berikut:
Logon Name: Nama logon dapat memiliki panjang hingga 64 karakter, dan dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_).
Display Name: Nama tampilan dapat memiliki panjang hingga 128 karakter.
Tag: Klik ikon
dan masukkan kunci tag serta nilai tag. Anda dapat menambahkan satu atau lebih tag ke pengguna RAM. Dengan cara ini, Anda dapat mengelola pengguna RAM berdasarkan tag.
CatatanAnda dapat mengklik Add User untuk membuat beberapa pengguna RAM sekaligus.
Di bagian Access Mode, pilih mode akses dan konfigurasikan parameter yang diperlukan.
Untuk memastikan keamanan akun Alibaba Cloud Anda, kami merekomendasikan agar Anda hanya memilih satu mode akses untuk pengguna RAM. Dengan cara ini, pengguna RAM untuk individu dipisahkan dari pengguna RAM untuk program.
Console Access
Jika pengguna RAM mewakili individu, kami merekomendasikan agar Anda memilih Akses Konsol untuk pengguna RAM. Dengan cara ini, pengguna RAM dapat menggunakan nama pengguna dan kata sandi untuk mengakses Alibaba Cloud. Jika Anda memilih Akses Konsol, Anda harus mengonfigurasi parameter berikut:
Atur Kata Sandi Konsol: Anda dapat memilih Secara Otomatis Menghasilkan Ulang Kata Sandi Default atau Atur Ulang Kata Sandi Kustom. Jika Anda memilih Atur Ulang Kata Sandi Kustom, Anda harus menentukan kata sandi. Kata sandi harus memenuhi persyaratan kompleksitas. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kata sandi untuk pengguna RAM.
Reset Kata Sandi: Menentukan apakah pengguna RAM diharuskan mereset kata sandi saat logon berikutnya.
Aktifkan MFA: Menentukan apakah akan mengaktifkan otentikasi multi-faktor (MFA) untuk pengguna RAM. Setelah Anda mengaktifkan MFA, Anda harus mengikat perangkat MFA ke pengguna RAM. Untuk informasi lebih lanjut, lihat Ikat perangkat MFA ke pengguna RAM.
Using permanent AccessKey to access
Jika pengguna RAM mewakili program, Anda dapat memilih Menggunakan AccessKey permanen untuk mengakses untuk pengguna RAM. Dengan cara ini, pengguna RAM dapat menggunakan pasangan AccessKey untuk mengakses Alibaba Cloud. Jika Anda memilih Akses OpenAPI, sistem secara otomatis menghasilkan ID AccessKey dan rahasia AccessKey untuk pengguna RAM. Untuk informasi lebih lanjut, lihat Dapatkan pasangan AccessKey.
PentingRahasia AccessKey untuk pengguna RAM hanya ditampilkan saat Anda membuat pasangan AccessKey. Anda tidak dapat menanyakan rahasia AccessKey dalam operasi berikutnya. Oleh karena itu, Anda harus mencadangkan rahasia AccessKey Anda.
Pasangan AccessKey adalah kredensial permanen untuk akses aplikasi. Jika pasangan AccessKey dari akun Alibaba Cloud bocor, sumber daya yang dimiliki oleh akun tersebut terpapar pada risiko potensial. Untuk mencegah risiko kebocoran kredensial, kami merekomendasikan agar Anda menggunakan token Layanan Keamanan (STS). Untuk informasi lebih lanjut, lihat Praktik terbaik untuk menggunakan kredensial akses untuk memanggil operasi API.
Klik OK.
Selesaikan verifikasi keamanan sesuai petunjuk.
Langkah 4: Lampirkan kebijakan ke pengguna RAM
Perusahaan B harus melampirkan kebijakan AliyunSTSAssumeRoleAccess ke pengguna RAM sebelum pengguna RAM dapat mengasumsikan peran RAM dari Perusahaan A.
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih .
Pada halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di bagian Policy dari halaman Grant Permission, cari dan pilih AliyunSTSAssumeRoleAccess system policy. Lalu, klik Grant permissions.
Klik Close.
Langkah 5: Peroleh token STS dari peran RAM
Setelah kebijakan AliyunSTSAssumeRoleAccess dilampirkan ke pengguna RAM, pengguna RAM memanggil operasi AssumeRole dari STS untuk memperoleh token STS dan mengasumsikan peran RAM yang dibuat di Langkah 1: Buat Peran RAM dengan Menggunakan Akun Alibaba Cloud dari Perusahaan A. Lalu, pengguna RAM dapat mengakses sumber daya Perusahaan A.
Untuk informasi lebih lanjut tentang cara memanggil operasi AssumeRole, lihat SDK STS untuk Java.
Setelah pengguna RAM memperoleh ID AccessKey, rahasia AccessKey, dan token STS yang diperlukan, pengguna RAM dapat menggunakan SDK Layanan Log Sederhana untuk mengakses sumber daya Layanan Log Sederhana. Untuk informasi lebih lanjut, lihat Gambaran Umum SDK Layanan Log Sederhana.