All Products
Search

This Product

    Resource Access Management:Buat AccessKey

    Document Center

    Resource Access Management:Buat AccessKey

    Last Updated:May 23, 2026

    Buat pasangan AccessKey untuk mengautentikasi panggilan API programatik untuk Pengguna RAM atau Akun Alibaba Cloud.

    Apa itu AccessKey?

    Pasangan AccessKey adalah kredensial keamanan jangka panjang yang dikeluarkan oleh Alibaba Cloud untuk akses programatik. Pasangan ini terdiri dari ID AccessKey dan Rahasia AccessKey.

    • AccessKey ID: Pengidentifikasi unik publik untuk pasangan AccessKey.

    • AccessKey secret: Kunci privat yang digunakan untuk menandatangani permintaan programatik. Signature ini memverifikasi keaslian dan integritas permintaan. Anda harus menjaga kerahasiaan AccessKey secret Anda secara ketat.

    Penting

    Untuk mengurangi risiko kompromi, AccessKey secret hanya ditampilkan saat Anda membuatnya. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.

    Cara menggunakan AccessKey

    Pasangan AccessKey mengautentikasi panggilan programatik ke API Alibaba Cloud melalui CLI, SDK, atau Terraform. Pasangan ini tidak dapat digunakan untuk masuk ke Konsol.

    Hindari penggunaan langsung pasangan AccessKey dalam aplikasi. Alibaba Cloud menyediakan solusi tanpa AccessKey yang menggunakan kredensial keamanan sementara (token STS) sebagai gantinya. Skenario pengembangan aplikasi.

    Jika Anda harus menggunakan pasangan AccessKey, ikuti panduan dalam Menyimpan dan menggunakan pasangan AccessKey yang tidak dapat dihindari secara tepat.

    Cara kerja AccessKey

    RAM menghasilkan ID AccessKey dan Rahasia AccessKey menggunakan algoritma kriptografi. Alibaba Cloud mengenkripsi keduanya selama penyimpanan dan transmisi.

    Saat aplikasi mengirim permintaan, permintaan tersebut menyertakan ID AccessKey dan signature yang diturunkan dari Rahasia AccessKey. Alibaba Cloud menggunakan informasi ini untuk memverifikasi identitas pengirim dan integritas permintaan. Mekanisme badan permintaan & signature V3.

    Jenis AccessKey

    Pasangan AccessKey dikategorikan berdasarkan pemiliknya:

    • Pasangan AccessKey Akun Alibaba Cloud (Tidak disarankan)

      Jenis ini dibuat oleh pemilik Akun Alibaba Cloud. Secara default, jenis ini memiliki izin penuh untuk semua operasi dan resource dalam akun tersebut. Jika dikompromikan, risiko keamanannya sangat tinggi. Jangan membuat atau menggunakan pasangan AccessKey untuk Akun Alibaba Cloud Anda.

    • Pasangan Kunci Akses Pengguna RAM (Disarankan)

      Jenis ini dimiliki oleh Pengguna RAM dan mewarisi izin pengguna tersebut, sehingga memungkinkan akses berbasis prinsip least-privilege. Buat Pengguna RAM sebelum membuat pasangan AccessKey untuknya. Tetapkan Pengguna RAM dan pasangan AccessKey unik untuk setiap aplikasi guna mencegah izin berlebihan dan mengurangi risiko kompromi akibat berbagi kredensial.

    Izin yang diperlukan

    Hindari penggunaan Akun Alibaba Cloud untuk membuat pasangan AccessKey karena memiliki izin berlebihan. Sebagai gantinya, gunakan Pengguna RAM dengan izin yang diperlukan untuk membuat dan mengelola pasangan AccessKey bagi Pengguna RAM lainnya.

    • Anda dapat menyambungkan kebijakan sistem AliyunRAMFullAccess (administrator RAM) ke administrator agar mereka dapat membuat dan mengelola pasangan AccessKey untuk Pengguna RAM.

    • Anda juga dapat mengaktifkan Allow users to manage AccessKey di pengaturan keamanan global RAM agar pengguna dapat mengelola pasangan AccessKey mereka sendiri. Kelola pengaturan keamanan untuk Pengguna RAM.

      Catatan

      Mengaktifkan pengaturan ini memungkinkan semua Pengguna RAM untuk mengelola pasangan AccessKey mereka sendiri, termasuk operasi seperti membuat, menonaktifkan, dan menghapus, kecuali administrator menyambungkan kebijakan yang secara eksplisit melarang tindakan tersebut.

      Jangan aktifkan pengaturan ini di lingkungan produksi. Untuk memberikan izin kepada pengguna tertentu agar dapat mengelola pasangan AccessKey-nya sendiri, gunakan kebijakan kustom dan batasi Resource hanya untuk pengguna tersebut. Contoh kebijakan:

      Izinkan pembuatan self-service

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateAccessKey",
        "ram:ListAccessKeys"
      ],
      "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME"
    }
  ]
}

      Izinkan manajemen self-service

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateAccessKey",
        "ram:ListAccessKeys",
        "ram:UpdateAccessKey",
        "ram:DeleteAccessKey",
        "ram:GetAccessKeyLastUsed",
        "ram:ListAccessKeysInRecycleBin"
      ],
      "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME"
    }
  ]
}

    Buat AccessKey Pengguna RAM

    Lakukan langkah-langkah berikut sebagai administrator RAM (dengan kebijakan AliyunRAMFullAccess). Jika Anda belum memiliki Pengguna RAM, buat terlebih dahulu.

    Catatan

    Pengguna RAM mengikuti langkah-langkah dalam Buat AccessKey Akun Alibaba Cloud (Tidak disarankan) untuk membuat pasangan AccessKey mereka sendiri.

    Konsol

    1. Masuk ke Konsol RAM. Di panel navigasi kiri, pilih Identities > Users.

    2. Pada daftar pengguna, temukan RAM User yang dituju dan klik username-nya.

    3. Pada tab AccessKey, klik Create AccessKey.

      image

      Catatan

      Setiap Pengguna RAM dapat memiliki maksimal dua pasangan AccessKey. Satu digunakan secara aktif, dan yang lainnya dapat dibuat untuk rotasi guna menggantikan yang lama.

    4. Pada kotak dialog, tinjau kasus penggunaan dan rekomendasi. Jika Anda harus membuat pasangan AccessKey, pilih kasus penggunaan, centang I confirm that it is necessary to create an AccessKey, lalu klik Continue. Kasus penggunaan yang dipilih tidak memengaruhi pasangan AccessKey yang dibuat.

      image

    5. Lakukan verifikasi keamanan sesuai petunjuk.

    6. Pada kotak dialog Create AccessKey, simpan ID AccessKey dan Rahasia AccessKey, lalu klik OK.

      Mengonfigurasi kebijakan kontrol akses jaringan untuk pasangan AccessKey (Opsional): Batasi alamat IP sumber pada permintaan OpenAPI agar panggilan hanya dapat dilakukan dari jaringan tepercaya. Klik Configure network access policy untuk menetapkan pembatasan tersebut. Mengonfigurasi kebijakan kontrol akses jaringan tingkat AccessKey untuk Pengguna RAM.

      Snipaste_2025-12-04_12-07-47

      Penting

      Untuk mengurangi risiko kompromi, AccessKey secret hanya ditampilkan saat Anda membuatnya. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.

    OpenAPI

    Panggil operasi CreateAccessKey dan tentukan parameter berikut:

    • UserPrincipalName: Nama login pengguna pemilik pasangan AccessKey, dalam format test@example.onaliyun.com. Anda dapat melihat nama login pengguna di Konsol RAM.

    Penting

    Untuk mengurangi risiko kompromi, AccessKey secret hanya dikembalikan dalam respons operasi CreateAccessKey. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.

    Buat AccessKey Akun Alibaba Cloud (Tidak disarankan)

    Peringatan

    Kecuali benar-benar diperlukan, jangan membuat atau menggunakan pasangan AccessKey untuk Akun Alibaba Cloud Anda. Sebelum melanjutkan, evaluasi apakah Anda dapat menggunakan pasangan AccessKey Pengguna RAM sebagai gantinya.

    1. Masuk ke Alibaba Cloud Console menggunakan Akun Alibaba Cloud Anda.

    2. Arahkan kursor ke ikon profil di pojok kanan atas dan klik AccessKey.

      image

    3. Pada kotak dialog Cloud Account AccessKey Pair Not Recommended, baca risiko terkait pembuatan pasangan AccessKey untuk Akun Alibaba Cloud Anda. Untuk melanjutkan, centang I am aware of the security risks of using a main account AccessKey., lalu klik Use Cloud Account AccessKey.

      image

    4. Pada halaman AccessKey, klik Create AccessKey.

      image

      Catatan

      Akun Alibaba Cloud dapat memiliki maksimal dua pasangan AccessKey. Satu digunakan secara aktif, dan yang lainnya dapat dibuat untuk rotasi guna menggantikan yang lama.

    5. Pada kotak dialog Create Main Account AccessKey, baca kembali risiko dan batasan yang berlaku. Jika Anda yakin ingin membuat pasangan AccessKey untuk Akun Alibaba Cloud Anda, centang I am aware of the security risks of using a main account AccessKey., lalu klik Use Cloud Account AccessKey.

      20251204150912

    6. Pada kotak dialog Create AccessKey, simpan ID AccessKey dan Rahasia AccessKey, centang I have saved the AccessKey Secret, lalu klik OK.

      Konfigurasikan kebijakan kontrol akses jaringan untuk pasangan AccessKey (Direkomendasikan): Batasi alamat IP sumber untuk permintaan OpenAPI agar panggilan hanya berasal dari jaringan tepercaya. Klik Configure network access policy untuk menetapkan pembatasan. Konfigurasikan kebijakan kontrol akses jaringan tingkat AccessKey untuk Akun Alibaba Cloud.

      image

      Penting

      Untuk mengurangi risiko kompromi, Rahasia AccessKey untuk Akun Alibaba Cloud hanya ditampilkan saat Anda membuatnya. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.

    Topik terkait