全部产品
Search

搜索本产品

    Virtual Private Cloud:Akses layanan Alibaba Cloud dari VPC melalui jaringan pribadi

    文档中心

    Virtual Private Cloud:Akses layanan Alibaba Cloud dari VPC melalui jaringan pribadi

    更新时间:Jan 27, 2026

    Mengakses layanan Alibaba Cloud seperti Object Storage Service (OSS) melalui Internet dari instans di virtual private cloud (VPC) dapat menimbulkan risiko keamanan, mengurangi stabilitas jaringan, dan meningkatkan biaya lalu lintas Internet.

    Akses layanan Alibaba Cloud dari VPC melalui jaringan pribadi mengatasi masalah tersebut. Trafik tetap bersifat pribadi, sehingga meningkatkan keamanan, menstabilkan kinerja jaringan, dan membantu Anda mengendalikan biaya.

    Topik ini menjelaskan dua cara untuk mengakses layanan Alibaba Cloud dari VPC melalui jaringan pribadi, yaitu gateway endpoint dan PrivateLink.

    Cara kerja

    Gateway endpoint

    PrivateLink

    Gateway endpoint berfungsi seperti gerbang virtual yang digunakan oleh VPC untuk mengakses layanan Alibaba Cloud tertentu.

    Proses berikut menggunakan OSS sebagai contoh cara kerjanya:

    1. Saat membuat gateway endpoint, Anda harus memilih VPC, tabel rute, dan layanan Alibaba Cloud yang ingin diakses.

    2. Setelah dibuat, sistem akan menambahkan rute kustom pada tabel rute tersebut yang mengarah ke daftar awalan sistem yang berisi OSS regional VIP CIDR. Lompatan berikutnya adalah gateway endpoint.

    3. Instans ECS di vSwitch yang terkait dengan tabel rute tersebut mengakses nama domain pribadi OSS. VPC mengarahkan trafik ke gateway endpoint, lalu ke OSS melalui jaringan pribadi Alibaba Cloud, tanpa menggunakan Internet.

    PrivateLink berfungsi seperti saluran data pribadi antara VPC dan layanan tujuan.

    Prosesnya sebagai berikut:

    1. Untuk menggunakan PrivateLink, Anda harus terlebih dahulu membuat interface endpoint. Pilih VPC, security group, zona, vSwitch, dan layanan Alibaba Cloud yang ingin diakses.

    2. Setelah dibuat, sistem secara otomatis membuat endpoint elastic network interface (ENI) dengan alamat IP pribadi di setiap vSwitch yang dipilih. ENI tersebut merupakan satu-satunya entri menuju layanan tersebut.

    3. Ketika instans ECS mengakses nama domain titik akhir, trafik yang sesuai dengan aturan security group akan melewati ENI dan mencapai OSS melalui jaringan pribadi Alibaba Cloud.

    imageimage

    Pilih layanan yang sesuai dengan merujuk pada tabel berikut.

    Atribut

    Gateway endpoint

    PrivateLink

    Kasus penggunaan

    Gunakan kebijakan titik akhir bersama dengan kebijakan bucket OSS untuk menerapkan kontrol akses dan mengurangi akses tidak sah.

    • Kontrol sumber: VPC hanya diizinkan mengakses bucket tertentu.

    • Kontrol tujuan: Bucket OSS hanya dapat diakses oleh VPC tertentu.

    Solusi standar untuk mengakses layanan Alibaba Cloud secara aman dari VPC melalui jaringan pribadi. Mendukung berbagai layanan Alibaba Cloud dan fitur-fitur advanced.

    Layanan yang Berlaku

    Saat ini hanya mendukung OSS.

    Mendukung beragam layanan Alibaba Cloud dan layanan yang dibuat pengguna, termasuk layanan yang disediakan oleh vendor perangkat lunak independen (ISV).

    Keamanan VPC

    Hanya kebijakan titik akhir.

    Security group, ACL jaringan, dan kebijakan titik akhir.

    Jaringan

    Tidak mendukung skenario jaringan kompleks. Konflik alamat IP dapat terjadi dengan blok CIDR layanan Alibaba Cloud (100.x.x.x/8).

    Mendukung jaringan kompleks. Gunakan PrivateLink bersama koneksi peering VPC, Cloud Enterprise Network (CEN), sirkuit Express Connect, atau gerbang VPN untuk jaringan antar-wilayah dan cloud hibrida.

    O&M

    Tidak ada

    Log aliran tersedia untuk audit dan troubleshooting.

    Biaya

    Gratis

    Dikenakan biaya instans dan biaya transfer data.

    Untuk layanan yang dibuat pengguna, Anda dapat memilih apakah konsumen layanan atau penyedia layanan yang membayar biaya tersebut.

    Gateway endpoint

    Gunakan kebijakan titik akhir bersama dengan kebijakan bucket OSS untuk menerapkan kontrol akses dan mencegah akses tidak sah.

    • Kontrol sumber: Hanya VPC tertentu yang diizinkan mengakses bucket tertentu.

    • Kontrol tujuan: Hanya VPC tertentu yang dapat mengakses bucket OSS tertentu.

    image

    Konsol

    Buat gateway endpoint dan konfigurasikan kebijakan

    VPC tempat Anda membuat gateway endpoint, bucket yang diotorisasi, dan pengguna yang mengakses OSS dari VPC dapat berasal dari akun Alibaba Cloud yang berbeda.

    Gateway endpoint hanya didukung di beberapa wilayah.

    1. Buat gateway endpoint dan konfigurasikan kebijakan titik akhir.

      1. Di Konsol VPC - Gateway Endpoint, klik Create Endpoint.

      2. Pilih wilayah, masukkan nama titik akhir, lalu atur tipe titik akhir menjadi Gateway Endpoint.

      3. Untuk Endpoint Service, pilih Alibaba Cloud Services dan pilih OSS.

      4. Pilih VPC dan pilih tabel rute.

        Setelah dibuat, sistem akan menambahkan rute kustom pada tabel rute tersebut yang mengarah ke daftar awalan sistem yang berisi OSS regional VIP CIDR. Lompatan berikutnya adalah gateway endpoint.

      5. Konfigurasikan kebijakan titik akhir. Sintaksnya sama dengan bahasa kebijakan izin Resource Access Management (RAM).

        Contoh kebijakan

        Kebijakan contoh berikut hanya mengizinkan pengguna dengan ID Akun 1746xxxxxx untuk melakukan operasi OSS pada bucket bernama examplebucket dari VPC.

        {
  "Version": "1",
  "Statement":
    [
      {
        "Effect": "Allow",
        "Action": "oss:*",
        "Resource": ["acs:oss:*:*:examplebucket",
                     "acs:oss:*:*:examplebucket/*"],
        "Principal": ["1746xxxxxx"]
      }
    ]
}

      6. Setelah titik akhir dibuat, Anda dapat menemukan entri rute yang ditambahkan sistem di entri rute kustom pada tabel rute terkait. Lompatan berikutnya adalah gateway endpoint.

    2. Konfigurasikan kebijakan bucket untuk OSS.

      1. Buka Konsol OSS - Buckets dan klik nama bucket target.

      2. Di panel navigasi kiri, pilih Permission Control > Bucket Policy, klik Add by Syntax, lalu klik Edit.

      3. Konfigurasikan kebijakan bucket. Sintaksnya sama dengan bahasa kebijakan akses RAM.

        Contoh

        Kebijakan contoh memiliki efek berikut:

        1. Kebijakan 1: Menolak semua akun mengakses bucket examplebucket dan melakukan operasi OSS dari VPC mana pun selain VPC dengan ID vpc-bp******.

          Untuk daftar tindakan OSS, lihat RAM Policy. Jangan mengatur Action menjadi * dalam kebijakan Deny. Jika tidak, pemilik bucket tidak dapat mengakses bucket tersebut di Konsol OSS.

        2. Kebijakan 2: Hanya mengizinkan ID akun 1746xxxxxx untuk mengakses bucket examplebucket dan melakukan operasi OSS dari VPC dengan ID vpc-bp******.

        {
  "Version": "1",
  "Statement":
    [
      {
        "Effect": "Deny",
        "Action": ["oss:ListObjects","oss:GetObject","oss:PutObject","oss:DeleteObject"],
        "Resource": ["acs:oss:*:*:examplebucket",
                     "acs:oss:*:*:examplebucket/*"],
        "Principal": ["*"],
	"Condition": {
	  "StringNotEquals": {
            "acs:SourceVpc": [
	      "vpc-bp******"
	    ]
	  }
	}
      },{
        "Effect": "Allow",
        "Action": ["oss:*"],
        "Resource": ["acs:oss:*:*:examplebucket",
                     "acs:oss:*:*:examplebucket/*"],
        "Principal": ["1746xxxxxx"],
	"Condition": {
	  "StringEquals": {
            "acs:SourceVpc": [
	      "vpc-bp******"
	    ]
	  }
	}
      }
    ]
}

      4. Setelah mengonfigurasi kebijakan, klik Save.

    3. Verifikasi kebijakan akses.

      Catatan: Jika pengguna RAM mengakses OSS, Anda harus memberikan izin kepada pengguna RAM tersebut untuk melakukan operasi pada bucket OSS yang ditentukan. Jika tidak, permintaan akses akan gagal.

      1. Saat Anda menggunakan akun yang diotorisasi untuk mengakses bucket yang diotorisasi dari VPC yang diotorisasi, permintaan akses berhasil.

      2. Jika akun, VPC, atau bucket tidak diotorisasi, permintaan akses gagal.

    Ubah kebijakan

    Anda dapat mengubah kebijakan untuk menyesuaikan cakupan VPC, bucket, atau akun yang diotorisasi.

    • Untuk mengubah VPC mana yang diizinkan mengakses bucket, buka halaman Konsol OSS - Buckets dan klik nama bucket. Di panel navigasi kiri, pilih Permission Control > Bucket Policy. Ubah bidang Condition dalam kebijakan untuk menambah atau menghapus VPC.

    • Untuk mengubah cakupan bucket yang diotorisasi:

      1. Buka halaman Konsol VPC - Gateway Endpoint dan klik ID gateway endpoint tujuan. Pada tab Endpoint Policy, ubah bidang Resource dalam kebijakan otorisasi untuk mengontrol bucket mana yang dapat diakses oleh VPC.

      2. Buka halaman Konsol OSS - Buckets dan klik nama bucket target. Di panel navigasi kiri, pilih Permission Control > Bucket Policy. Ubah bidang Resource dalam kebijakan otorisasi yang ada untuk menambah atau menghapus sumber daya bucket. Jika melibatkan beberapa bucket, Anda harus melakukan operasi ini untuk setiap bucket.

    • Untuk mengubah cakupan akun yang diotorisasi:

      Catatan: Jika pengguna RAM mengakses OSS, Anda harus memberikan izin yang diperlukan kepada pengguna RAM tersebut untuk melakukan operasi pada bucket OSS. Jika tidak, permintaan akses akan gagal.

      1. Buka halaman Konsol VPC - Gateway Endpoint dan klik ID gateway endpoint target. Pada tab Endpoint Policy, ubah bidang Principal dalam kebijakan untuk menambah atau menghapus akun yang diizinkan mengakses Bucket dari VPC.

      2. Buka Konsol OSS - Buckets dan klik nama bucket tujuan. Di panel navigasi kiri, pilih Permission Control > Bucket Policy. Ubah bidang Principal dalam kebijakan otorisasi yang ada untuk menambah atau menghapus akun yang dapat mengakses bucket dari VPC. Jika Anda mengonfigurasi beberapa bucket, Anda harus mengulangi operasi ini untuk setiap bucket.

    Asosiasikan atau pisahkan tabel rute

    Anda dapat mengasosiasikan gateway endpoint dengan tabel rute atau memisahkannya dari tabel rute untuk mengontrol vSwitch mana di VPC yang dapat mengakses layanan Alibaba Cloud melalui gateway endpoint tersebut.

    1. Buka halaman Konsol VPC - Gateway Endpoint, lalu klik ID instans gateway endpoint target.

    2. Pada tab Associated Route Tables:

      1. Untuk mengasosiasikan tabel rute baru, klik Associate with Route Table. Sistem secara otomatis menambahkan rute ke entri rute kustomnya dengan lompatan berikutnya adalah gateway endpoint.

      2. Untuk memisahkan tabel rute, klik Disassociate di sebelah kanan tabel rute. Saat tabel rute dipisahkan, sistem secara otomatis menghapus rute sistem yang sesuai.

    Hapus gateway endpoint

    Sebelum menghapus gateway endpoint, Anda harus memisahkan semua tabel rute.

    1. Pisahkan semua tabel rute.

    2. Buka Konsol VPC - Gateway Endpoint di Konsol VPC, temukan instans gateway endpoint target, lalu klik Delete.

    3. (Opsional) Kebijakan bucket tetap berlaku dan dapat mencegah VPC lain mengakses bucket tersebut. Untuk mengubah kebijakan, buka Konsol OSS - Buckets, klik nama bucket target. Di panel navigasi kiri, pilih Permission Control > Bucket Policy untuk mengubah atau menghapus kebijakan yang membatasi akses ke VPC.

    API

    1. Gateway endpoint:

      1. Untuk membuat gateway endpoint dan mengonfigurasi kebijakan titik akhir, panggil operasi CreateVpcGatewayEndpoint.

        1. Saat memanggil operasi ini, Anda harus menentukan parameter ServiceName. Panggil operasi ListVpcEndpointServicesByEndUser untuk mengkueri layanan titik akhir yang tersedia.

        2. Bidang PolicyDocument digunakan untuk mengonfigurasi kebijakan titik akhir. Sintaksnya sama dengan bahasa kebijakan akses.

      2. Untuk mengubah kebijakan gateway endpoint, panggil operasi UpdateVpcGatewayEndpointAttribute dan tentukan parameter PolicyDocument.

      3. Untuk mengasosiasikan tabel rute, panggil operasi AssociateRouteTablesWithVpcGatewayEndpoint.

      4. Untuk memisahkan tabel rute, panggil operasi DissociateRouteTablesFromVpcGatewayEndpoint.

      5. Untuk menghapus gateway endpoint, panggil operasi DeleteVpcGatewayEndpoint.

    2. Bucket OSS:

      1. Untuk mengonfigurasi kebijakan bucket untuk OSS, panggil operasi PutBucketPolicy.

      2. Untuk mengubah kebijakan bucket, panggil operasi PutBucketPolicy dan tentukan kebijakan akses dalam format JSON.

      3. Untuk menghapus kebijakan bucket, panggil operasi DeleteBucketPolicy.

    Terraform

    Konfigurasikan gateway endpoint:

    Resource: alicloud_vpc_gateway_endpoint
    Catatan: Sebelum menghapus gateway endpoint, Anda harus memisahkan semua tabel rute yang terkait.
    provider "alicloud" {
  region = "cn-hangzhou"
}

resource "alicloud_vpc_gateway_endpoint" "default" {
  gateway_endpoint_name = "gateway-endpoint-name"        # The name of the gateway endpoint.
  service_name          = "com.aliyun.cn-hangzhou.oss"   # The name of the OSS service.
  vpc_id                = "vpc-bp******"                 # The VPC to which the gateway endpoint belongs.
  route_tables = ["vtb-bp******","vtb-bp******"]         # The IDs of the associated route tables.
  # The endpoint policy.
  policy_document       = <<EOF
   {
    "Version": "1",
    "Statement":
     [
       {
        "Effect": "Allow",
        "Action": "oss:*",
        "Resource": ["acs:oss:*:*:examplebucket","acs:oss:*:*:examplebucket/*"],
        "Principal": ["1746******"]
      }
    ]
  }
  EOF                                              
}

    Konfigurasikan kebijakan bucket untuk OSS:

    Resource: alicloud_oss_bucket_policy
    provider "alicloud" {
  region = "cn-hangzhou"
}

resource "alicloud_oss_bucket_policy" "default" {
  bucket = "examplebucket"  # The name of the bucket.
  
  policy = jsonencode({
    Version = "1"
    Statement = [
      {
        Effect = "Deny"
        Action = [
          "oss:ListObjects",
          "oss:GetObject",
          "oss:PutObject",
          "oss:DeleteObject"
        ]
        Principal = [
          "*"
        ]
        Resource = [
          "acs:oss:*:*:examplebucket",
          "acs:oss:*:*:examplebucket/*"
        ]
        Condition = {
          StringNotEquals = {
            "acs:SourceVpc" = [
              "vpc-bp******"  # Replace the value with the actual VPC ID.
            ]
          }
        }
      },{
        Effect = "Allow"
        Action = [
          "oss:*"
        ]
        Principal = [
          "1746xxxxxx"  # Replace the value with the actual Alibaba Cloud account ID.
        ]
        Resource = [
          "acs:oss:*:*:examplebucket",
          "acs:oss:*:*:examplebucket/*"
        ]
        Condition = {
          StringEquals = {
            "acs:SourceVpc" = [
              "vpc-bp******"  # Replace the value with the actual VPC ID.
            ]
          }
        }
      }
    ]
  })
}

    PrivateLink

    Untuk informasi lebih lanjut, lihat topik-topik PrivateLink berikut:

    Informasi lebih lanjut

    Penagihan

    Gateway endpoint gratis.

    Untuk informasi lebih lanjut, lihat penagihan PrivateLink.

    Wilayah yang didukung

    Area

    Wilayah

    Asia Pasifik - Tiongkok

    Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Shenzhen), Tiongkok (Ulanqab), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Chengdu), dan Tiongkok (Hong Kong)

    Asia Pasifik - Lainnya

    Jepang (Tokyo), Singapura, Malaysia (Kuala Lumpur), dan Indonesia (Jakarta)

    Eropa & Amerika

    Jerman (Frankfurt), Inggris (London), AS (Silicon Valley), dan AS (Virginia)

    Timur Tengah

    UEA (Dubai)

    Untuk informasi lebih lanjut, lihat Wilayah dan zona yang mendukung PrivateLink.

    Kuota

    Kuota gateway endpoint:

    1. Satu VPC hanya dapat diasosiasikan dengan satu gateway endpoint untuk satu layanan Alibaba Cloud. Satu tabel rute VPC hanya dapat diasosiasikan dengan satu gateway endpoint.

    2. Satu gateway endpoint dapat diasosiasikan dengan beberapa tabel rute VPC.

    Untuk informasi lebih lanjut tentang kuota PrivateLink, lihat Kuota layanan.