All Products
Search
Document Center

Simple Log Service:Gunakan role RAM untuk akses resource lintas akun

Last Updated:Jun 21, 2026

Gunakan role RAM untuk mengakses resource di akun Alibaba Cloud lain atau untuk mengizinkan akun Alibaba Cloud lain mengakses resource Anda. Topik ini menjelaskan cara membuat dan menggunakan role RAM.

Ikhtisar

Role RAM adalah pengguna virtual yang dapat diberikan kebijakan. Berbeda dengan Pengguna RAM, role RAM tidak memiliki kredensial permanen, seperti kata sandi logon atau AccessKey. Role RAM harus diasumsikan oleh pihak yang berwenang (trusted principal). Setelah pihak yang berwenang mengasumsikan role tersebut, pihak tersebut memperoleh token STS sementara untuk mengakses resource yang diizinkan.

Sebagai contoh, untuk memberikan otorisasi kepada Pengguna RAM dari Perusahaan B agar dapat mengakses resource Simple Log Service milik Perusahaan A, gunakan role RAM. Prosesnya sebagai berikut:

  1. Perusahaan A membuat peran RAM.

  2. Perusahaan A memberikan izin kepada role RAM tersebut.

  3. Perusahaan B membuat Pengguna RAM.

  4. Perusahaan B memberikan izin AliyunSTSAssumeRoleAccess kepada Pengguna RAM tersebut.

  5. Pengguna RAM dari Perusahaan B mengasumsikan role RAM untuk mengakses resource milik Perusahaan A.

Langkah 1: Buat role RAM di Perusahaan A

  1. Masuk ke Konsol RAM sebagai administrator RAM.

  2. Di panel navigasi sebelah kiri, pilih Identities > Role.

  3. Pada halaman Role, klik Create Role.

  4. Pada halaman Create Role, atur Principal Type menjadi Alibaba Cloud Account, atur Select Trusted Alibaba Cloud Account menjadi Other Alibaba Cloud Account, masukkan account ID akun root Perusahaan B, lalu klik OK.

  5. Pada kotak dialog Create Role, masukkan Role Name, misalnya aliyunlogreadrole.

Langkah 2: Berikan izin kepada role RAM

Catatan

Secara default, role RAM baru tidak memiliki izin apa pun. Anda harus memberikan izin kepadanya. RAM menyediakan dua kebijakan sistem berikut untuk Simple Log Service. Kami menyarankan agar Anda mengikuti prinsip hak istimewa minimal dan hanya memberikan izin yang diperlukan kepada role RAM tersebut.

  • AliyunLogFullAccess: Memberikan akses manajemen penuh ke Simple Log Service.

  • AliyunLogReadOnlyAccess: Memberikan akses read-only ke Simple Log Service.

Jika kebijakan sistem tidak memenuhi kebutuhan Anda, Anda dapat membuat kebijakan kustom untuk pengelolaan izin detail halus. Untuk informasi selengkapnya, lihat Buat kebijakan kustom. Untuk contoh kebijakan, lihat Contoh kebijakan kustom dan Berikan izin pada Simple Log Service kepada Pengguna RAM.

  1. Masuk ke Konsol RAM sebagai administrator RAM.

  2. Di panel navigasi sebelah kiri, pilih Identities >  >  > Role.

  3. Pada halaman Role, temukan role RAM yang dituju dan klik Create Authorization di kolom Actions.

    Anda juga dapat memilih beberapa role RAM dan mengklik Create Authorization di bagian bawah daftar role untuk memberikan izin secara batch.

  4. Pada panel Create Authorization, pilih kebijakan, misalnya AliyunLogReadOnlyAccess, lalu klik OK.

  5. Klik Close.

Langkah 3: Buat Pengguna RAM di Perusahaan B

  1. Masuk ke Konsol RAM dengan Akun Alibaba Cloud Anda atau sebagai administrator RAM.

  2. Di panel navigasi sebelah kiri, pilih Identities >  >  > Users.

  3. Pada halaman Users, klik Create User.

  4. Pada halaman Create User, pada bagian User Account Information, konfigurasikan informasi dasar pengguna.

    • Logon Name: Nama dapat terdiri hingga 64 karakter dan boleh mengandung huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_).

    • Display Name: Nama dapat terdiri hingga 128 karakter.

    • Tag: Klik edit, lalu masukkan kunci tag dan nilai tag. Anda dapat menambahkan tag ke Pengguna RAM untuk mempermudah pengelolaan pengguna berbasis tag.

      Catatan

      Klik Add User untuk membuat beberapa Pengguna RAM sekaligus.

  5. Pada bagian Access Method, pilih mode akses dan konfigurasikan parameternya.

    Untuk alasan keamanan, kami menyarankan Anda hanya memilih salah satu mode akses berikut guna memisahkan pengguna manusia dari pengguna aplikasi.

    • Console Access

      Jika Pengguna RAM mewakili individu, kami menyarankan Anda mengaktifkan akses konsol, yang memungkinkan pengguna mengakses Alibaba Cloud dengan username dan password. Anda harus mengonfigurasi parameter berikut:

      • Console Password: Pilih apakah akan menghasilkan kata sandi secara otomatis atau menentukan kata sandi sendiri. Kata sandi kustom harus memenuhi aturan kompleksitas kata sandi. Untuk informasi selengkapnya, lihat Tetapkan kebijakan kata sandi untuk Pengguna RAM.

      • Required upon Next Logon: Pilih apakah Pengguna RAM harus mengatur ulang kata sandi saat logon berikutnya.

      • Enable MFA: Pilih apakah akan mengaktifkan autentikasi multi-faktor (MFA) untuk Pengguna RAM. Jika Anda mengaktifkan MFA, Anda juga harus melakukan bind perangkat MFA. Untuk informasi selengkapnya, lihat Bind perangkat MFA untuk Pengguna RAM.

    • Programmatic Access

      Jika Pengguna RAM mewakili aplikasi, pengguna tersebut dapat mengakses Alibaba Cloud secara programatik menggunakan AccessKey permanen. Jika Anda mengaktifkan opsi ini, sistem akan secara otomatis menghasilkan ID AccessKey dan Rahasia AccessKey untuk Pengguna RAM tersebut. Untuk informasi selengkapnya, lihat Buat Pasangan Kunci Akses.

      Penting
      • Rahasia AccessKey Pengguna RAM hanya ditampilkan saat AccessKey dibuat dan tidak dapat diambil kembali nanti. Simpan Rahasia AccessKey tersebut dengan aman.

      • AccessKey merupakan kredensial jangka panjang untuk akses programatik. Jika AccessKey bocor, semua resource dalam akun Anda berisiko. Kami menyarankan Anda menggunakan kredensial sementara seperti token STS untuk mengurangi risiko kebocoran kredensial. Untuk informasi selengkapnya, lihat Praktik terbaik untuk mengelola kredensial akses.

  6. Klik OK.

Langkah 4: Berikan izin kepada Pengguna RAM

Perusahaan B harus memberikan izin AliyunSTSAssumeRoleAccess kepada Pengguna RAM-nya agar pengguna tersebut dapat mengasumsikan role RAM yang dibuat oleh Perusahaan A.

  1. Masuk ke Konsol RAM sebagai administrator RAM.

  2. Di panel navigasi sebelah kiri, pilih Identities >  >  > Users.

  3. Pada halaman Users, temukan Pengguna RAM yang dituju dan klik Add Permissions di kolom Actions.

    Anda juga dapat memilih beberapa Pengguna RAM dan mengklik Add Permissions di bagian bawah daftar pengguna untuk memberikan izin secara batch.

  4. Pada panel Create Authorization, pada bagian Policy, cari dan pilih AliyunSTSAssumeRoleAccess di bawah System Policy, lalu klik OK.

  5. Klik Close.

Langkah 5: Dapatkan token STS

Setelah Pengguna RAM dari Perusahaan B memiliki izin AliyunSTSAssumeRoleAccess, pengguna tersebut dapat memanggil operasi API AssumeRole untuk mendapatkan token STS. Pengguna kemudian menggunakan token ini untuk mengasumsikan role RAM dari Langkah 1: Buat role RAM di Perusahaan A guna mengakses resource milik Perusahaan A.

Catatan
  • Untuk informasi selengkapnya tentang cara memanggil operasi API AssumeRole, lihat STS SDK untuk Java.

  • Setelah Anda memperoleh ID AccessKey, Rahasia AccessKey, dan SecurityToken menggunakan STS SDK, gunakan SDK Simple Log Service untuk mengakses Simple Log Service. Untuk informasi selengkapnya, lihat Ikhtisar Referensi SDK.