全部产品
Search

搜索本产品

    Server Migration Center:Gunakan tag untuk mengimplementasikan kontrol akses granular

    文档中心

    Server Migration Center:Gunakan tag untuk mengimplementasikan kontrol akses granular

    更新时间:Jul 06, 2025

    Setelah melampirkan tag ke sumber daya Server Migration Center (SMC), Anda dapat menggunakan tag tersebut untuk mengkategorikan dan mengontrol akses ke sumber daya tersebut. Topik ini menjelaskan cara menggunakan tag untuk mengontrol izin Pengguna Manajemen Akses Sumber Daya (RAM) dan peran Security Token Service (STS), sehingga pengguna yang berbeda dapat diberi izin akses dan operasi yang berbeda pada sumber daya cloud.

    Prasyarat

    Pengguna RAM harus dibuat menggunakan akun Alibaba Cloud Anda. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

    Informasi latar belakang

    Tag digunakan untuk mengidentifikasi dan mengkategorikan sumber daya cloud. RAM mengelola izin akses dan operasi pengguna RAM pada sumber daya cloud berdasarkan kebijakan izin. Anda dapat menggunakan tag sebagai kondisi dalam kebijakan RAM untuk mengimplementasikan kontrol akses granular pada sumber daya.

    Gambar berikut menunjukkan cara menggunakan tag untuk mengelola izin akses dan operasi pengguna RAM pada sumber daya cloud. Proses ini disebut otentikasi berbasis tag.786

    Catatan

    Anda dapat melampirkan tag ke sumber daya SMC seperti sumber migrasi dan tugas migrasi. Namun, Anda hanya dapat melampirkan tag ke sumber migrasi setelah mereka dibuat. Untuk informasi lebih lanjut, lihat Gunakan Tag untuk Mengelola Sumber Migrasi dan Pekerjaan Migrasi.

    Skenario

    Skenario dalam topik ini menggambarkan cara melakukan otentikasi berbasis tag.

    Sebagai contoh, Anda perlu memberikan izin kepada pengguna RAM hanya pada sumber daya SMC yang terikat dengan tag smc:test, seperti yang ditunjukkan pada gambar berikut.saasd

    Skenario:

    • Skenario 1: Anda hanya dapat membuat tugas migrasi jika tag smc:test dilampirkan pada tugas tersebut.

    • Skenario 2: Anda hanya dapat memodifikasi, menghapus, dan melampirkan tag pada sumber daya yang memiliki tag smc:test yang dilampirkan.

    Langkah 1: Buat kebijakan kustom dan lampirkan kebijakan tersebut ke pengguna RAM

    Pada langkah ini, kebijakan kustom dibuat di konsol RAM. Anda juga dapat memanggil operasi CreatePolicy untuk membuat kebijakan kustom. Untuk informasi lebih lanjut, lihat Konfigurasi Kebijakan.

    1. Gunakan akun Alibaba Cloud Anda untuk masuk ke Konsol RAM.

    2. Di panel navigasi sebelah kiri, pilih Permissions > Policies.

    3. Pada halaman Policies, klik Create Policy.

    4. Pada halaman Create Policy, klik tab JSON.

    5. Konfigurasikan kebijakan.

      Kebijakan berisi satu set izin. Setiap kebijakan mencakup nomor versi dan satu atau beberapa pernyataan individu. Setiap pernyataan mencakup elemen berikut: Effect, Action, Resource, dan Condition. Elemen Condition bersifat opsional. Untuk informasi lebih lanjut, lihat Elemen Dasar Kebijakan dan Struktur dan Sintaks Kebijakan.

      1. Sesuaikan kebijakan dengan kebutuhan dan klik OK.

        Anda dapat mengonfigurasi beberapa kondisi berbasis tag untuk sumber daya cloud di elemen Condition dari kebijakan kustom untuk membatasi izin operasi. Tabel berikut menjelaskan kondisi otentikasi berbasis tag yang didukung.

        Kondisi otentikasi berbasis tag

        Deskripsi

        acs:RequestTag

        Menentukan bahwa tag tertentu harus disertakan dalam setiap permintaan API.

        Jika permintaan API tidak menyertakan parameter terkait tag, kondisi acs:RequestTag tidak dapat digunakan. Jika tidak, otentikasi gagal.

        acs:ResourceTag

        Menentukan bahwa tag tertentu harus dilampirkan pada sumber daya yang ditentukan.

        Jika permintaan API tidak menyertakan ID sumber daya, Anda tidak dapat menggunakan kondisi acs:ResourceTag. Jika tidak, otentikasi gagal.

        Catatan

        Saat mengonfigurasi kebijakan, Anda dapat menggunakan kondisi acs:RequestTag atau acs:ResourceTag berdasarkan apakah Anda perlu menentukan ID sumber daya dan apakah tag dapat disertakan dalam permintaan API. Untuk informasi lebih lanjut, lihat Otentikasi Berbasis Tag untuk Permintaan ke Operasi API yang Berbeda.

        {
    "Statement": [
        {
            "Action": "smc:CreateReplicationJob",
            "Condition": {
                "StringEquals": {
                    "acs:RequestTag/smc": "test"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "smc:*",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/smc": "test"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
          "Action": [
                "*:TagResources",
                "*:UntagResources"  
             ],
            "Effect": "Deny",
            "Resource": "*"
        },
        {
            "Action": [
                "*:List*",
                "*:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

        Kebijakan di atas dapat memberikan kontrol akses untuk skenario berikut.

        Skenario

        Kebijakan

        Skenario 1: Anda hanya dapat membuat tugas migrasi jika tag smc:test dilampirkan pada tugas tersebut.

        {
    "Statement": [
        {
            "Action": "smc:CreateReplicationJob",
            "Condition": {
                "StringEquals": {
                    "acs:RequestTag/smc": "test"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "*:List*",
                "*:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

        Skenario 2: Anda hanya dapat memodifikasi dan menghapus sumber daya yang memiliki tag smc:test yang dilampirkan.

        {
    "Statement": [
        {
            "Action": "smc:*",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/smc": "test"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
          "Action": [
                "*:TagResources",
                "*:UntagResources"
            ],
            "Effect": "Deny",
            "Resource": "*"
        },
        {
            "Action": [
                "*:List*",
                "*:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

      2. Dalam kotak dialog Create Policy, masukkan nama dan deskripsi kebijakan, lalu klik OK.

    6. Lampirkan kebijakan ke pengguna RAM.

      1. Di panel navigasi sebelah kiri, pilih Identities > Users.

      2. Lampirkan kebijakan ke pengguna RAM.

        Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

    Langkah 2: Periksa apakah kebijakan sudah berlaku

    1. Masuk ke Konsol SMC atau OpenAPI Explorer sebagai pengguna RAM.

      Pada langkah ini, Konsol SMC digunakan.

    2. Periksa apakah kebijakan sudah berlaku.

      Lakukan operasi berikut:

      • Buat tugas migrasi:

        • Anda dapat membuat tugas migrasi untuk sumber migrasi yang Anda lampirkan dengan tag smc:test.

        • Anda tidak dapat membuat tugas migrasi untuk sumber migrasi yang tidak Anda lampirkan dengan tag smc:test. Anda akan diberi tahu bahwa Anda tidak memiliki izin untuk membuat tugas migrasi. 2556

      • Hapus sumber migrasi:

        • Anda dapat menghapus sumber migrasi yang Anda lampirkan dengan tag smc:test.

        • Anda tidak dapat menghapus sumber migrasi yang tidak Anda lampirkan dengan tag smc:test. Anda akan diberi tahu bahwa Anda tidak memiliki izin untuk membuat tugas migrasi. 566

    Otentikasi berbasis tag untuk permintaan ke operasi API yang berbeda

    Setelah kebijakan yang berisi kondisi berbasis tag dilampirkan ke pengguna RAM, permintaan yang dibuat oleh pengguna RAM ke operasi API diautentikasi berdasarkan tag yang ditentukan dalam kondisi kebijakan. Tabel berikut menjelaskan berbagai kasus di mana permintaan ke operasi API yang berbeda diautentikasi berdasarkan tag.

    Operasi API

    Deskripsi otentikasi

    CreateReplicationJob

    Anda tidak perlu menentukan ID sumber daya dalam permintaan. Permintaan dicocokkan dengan kondisi kebijakan acs:RequestTag.

    • Jika permintaan tidak berisi tag dari kondisi kebijakan, otentikasi gagal.

    • Jika permintaan berisi tag yang cocok atau termasuk tag dari kondisi kebijakan, otentikasi berhasil.

    ModifyReplicationJobAttribute

    Anda harus menentukan ID sumber daya dalam permintaan. Permintaan dicocokkan dengan kondisi kebijakan acs:ResourceTag.

    • Jika tag yang dilampirkan pada sumber daya tidak cocok dengan tag yang ditentukan dalam kondisi kebijakan, otentikasi gagal.

    • Jika tag yang dilampirkan pada sumber daya cocok dengan tag yang ditentukan dalam kondisi kebijakan, otentikasi berhasil.

    • Jika Anda memperbarui tag untuk sumber daya dan permintaan berisi tag baru dari sumber daya, otentikasi hanya berhasil ketika tag tersebut cocok dengan tag yang ditentukan dalam kondisi kebijakan. Jika tidak, otentikasi gagal.

    StartReplicationJob, StopReplicationJob, dan DeleteSourceServer

    Anda harus menentukan ID sumber daya dalam permintaan. Permintaan dicocokkan dengan kondisi kebijakan acs:ResourceTag.

    • Jika tag sumber daya tidak cocok dengan tag yang ditentukan dalam kondisi kebijakan, otentikasi gagal.

    • Jika tag sumber daya cocok dengan tag yang ditentukan dalam kondisi kebijakan, otentikasi berhasil.