All Products
Search

This Product

    Virtual Private Cloud:Akses privat VPC ke layanan Alibaba Cloud

    Document Center

    Virtual Private Cloud:Akses privat VPC ke layanan Alibaba Cloud

    Last Updated:May 28, 2026

    Anda dapat mengakses layanan Alibaba Cloud seperti OSS dari VPC melalui jaringan pribadi—bukan melalui Internet—untuk meningkatkan keamanan, stabilitas jaringan, dan efisiensi biaya.

    Akses jaringan pribadi memastikan semua permintaan tetap berada dalam jaringan internal Alibaba Cloud, sehingga memberikan keamanan lebih kuat, kinerja stabil, dan biaya lebih rendah.

    Tersedia dua solusi: gateway endpoint dan PrivateLink.

    Cara kerja

    Gateway endpoint

    PrivateLink

    Gateway endpoint bertindak sebagai gerbang virtual bagi VPC untuk mengakses layanan Alibaba Cloud tertentu.

    Prosedur berikut menggunakan OSS sebagai contoh:

    1. Saat membuat gateway endpoint, pilih VPC, tabel rute, dan layanan Alibaba Cloud yang akan diakses.

    2. Setelah gateway endpoint dibuat, sistem menambahkan entri rute kustom ke tabel rute yang dipilih. Tujuannya adalah daftar awalan sistem yang berisi blok CIDR VIP OSS di wilayah tersebut, dan lompatan berikutnya adalah gateway endpoint.

    3. Saat Instance ECS di vSwitch yang terkait dengan tabel rute mengakses nama domain internal OSS, VPC akan merutekan permintaan ke titik akhir gerbang. Lalu lintas tersebut kemudian mencapai OSS melalui jaringan pribadi tanpa melewati Internet.

    PrivateLink membangun saluran data pribadi antara VPC Anda dan layanan target.

    Prosedur berikut menggunakan OSS sebagai contoh:

    1. Untuk menggunakan PrivateLink, pertama-tama buat interface endpoint. Pilih VPC, security group, zona dan vSwitch, serta layanan Alibaba Cloud yang akan diakses.

    2. Setelah interface endpoint dibuat, sistem membuat endpoint elastic network interface (ENI) dengan Alamat IP pribadi di setiap vSwitch yang dipilih. ENI endpoint ini berfungsi sebagai satu-satunya titik masuk untuk mengakses layanan tersebut.

    3. Ketika Instance ECS mengakses nama domain endpoint dan trafik melewati aturan security group, permintaan dialihkan melalui ENI endpoint untuk mencapai OSS melalui jaringan pribadi, melewati Internet.

    Tabel berikut membandingkan kedua solusi tersebut.

    Fitur

    Gateway endpoint

    PrivateLink

    Kasus penggunaan

    Gunakan kebijakan endpoint bersama dengan kebijakan bucket OSS untuk mengurangi risiko akses tidak sah dan menerapkan autentikasi dua arah:

    • Kontrol sumber: VPC hanya dapat mengakses bucket tertentu.

    • Kontrol tujuan: Bucket OSS hanya dapat diakses dari VPC tertentu.

    Solusi standar untuk akses privat dari VPC ke layanan Alibaba Cloud. Mendukung lebih banyak jenis layanan dan kemampuan lanjutan dibandingkan gateway endpoint.

    Jenis layanan yang didukung

    Saat ini hanya mendukung OSS.

    Mendukung banyak layanan Alibaba Cloud dan layanan yang dibuat pengguna, termasuk layanan yang disediakan oleh ISV.

    Kemampuan keamanan VPC

    Hanya mendukung kebijakan endpoint.

    Mendukung security group, ACL jaringan, dan kebijakan endpoint.

    Kemampuan jaringan

    Tidak mendukung jaringan kompleks. Dapat bertentangan dengan blok CIDR layanan Alibaba Cloud (100.x.x.x/8).

    Mendukung jaringan kompleks. Kompatibel dengan Peering VPC, CEN, Express Connect, dan gateway VPN untuk konektivitas cross-region dan cloud hibrida.

    Kemampuan O&M

    Tidak ada

    Mendukung flow log untuk auditing dan troubleshooting.

    Biaya

    Gratis.

    Biaya mencakup biaya instans dan biaya transfer data.

    Untuk layanan yang dibuat pengguna, Anda dapat memilih apakah konsumen atau penyedia yang menanggung biaya.

    Gateway endpoint

    Gunakan kebijakan endpoint bersama dengan kebijakan bucket OSS untuk mengurangi risiko akses tidak sah dan menerapkan autentikasi dua arah:

    • Kontrol sumber: VPC hanya dapat mengakses bucket tertentu.

    • Kontrol tujuan: Bucket OSS hanya dapat diakses dari VPC tertentu.

    Konsol

    Buat gateway endpoint dan konfigurasikan kebijakan

    VPC gateway endpoint, bucket yang diizinkan, dan pengguna yang mengakses dapat berasal dari Akun Alibaba Cloud yang berbeda.

    Gateway endpoint hanya didukung di beberapa wilayah.

    1. Buat gateway endpoint dan konfigurasikan kebijakan endpoint.

      1. Buka halaman Konsol VPC - Gateway Endpoint dan klik Create Endpoint.

      2. Pilih wilayah dan tentukan nama untuk endpoint tersebut. Biarkan tipe endpoint sebagai Gateway Endpoint.

      3. Untuk Endpoint Service, pilih Alibaba Cloud Service, lalu pilih layanan endpoint untuk Object Storage Service (OSS).

      4. Pilih VPC dan pilih tabel rute.

        Setelah gateway endpoint dibuat, sistem akan menambahkan entri rute kustom ke tabel rute yang dipilih. Tujuannya adalah daftar awalan sistem yang berisi blok CIDR VIP OSS di wilayah tersebut, dan lompatan berikutnya adalah gateway endpoint.

      5. Konfigurasikan kebijakan endpoint. Sintaksnya sama dengan bahasa kebijakan izin Resource Access Management (RAM).

        Contoh kebijakan

        Contoh berikut hanya mengizinkan pengguna dengan ID Akun 1746xxxxxx untuk melakukan operasi terkait OSS pada bucket bernama examplebucket.

        {
  "Version": "1",
  "Statement":
    [
      {
        "Effect": "Allow",
        "Action": "oss:*",
        "Resource": ["acs:oss:*:*:examplebucket",
                     "acs:oss:*:*:examplebucket/*"],
        "Principal": ["1746xxxxxx"]
      }
    ]
}

      6. Setelah endpoint dibuat, Anda dapat menemukan entri rute yang ditambahkan sistem di entri rute kustom tabel rute terkait. Lompatan berikutnya mengarah ke gateway endpoint.

    2. Konfigurasikan kebijakan bucket untuk OSS.

      1. Buka halaman Konsol OSS - Buckets dan klik nama bucket yang ingin Anda otorisasi.

      2. Di panel navigasi kiri, pilih Permission Control > Bucket Policy. Klik Add by Syntax, lalu klik Edit.

      3. Konfigurasikan kebijakan bucket. Sintaksnya sama dengan bahasa kebijakan izin Resource Access Management (RAM).

        Contoh kebijakan

        Berikut adalah contoh kebijakan:

        1. Kebijakan 1: Menolak semua akun untuk melakukan operasi terkait OSS pada bucket examplebucket dari VPC mana pun kecuali vpc-bp******.

          Kami menyarankan agar Anda tidak mengatur Action ke * dalam kebijakan Deny karena hal ini mencegah bahkan pemilik bucket sekalipun untuk mengakses bucket tersebut di Konsol OSS. Daftar tindakan OSS tersedia di Ikhtisar kebijakan RAM.

        2. Kebijakan 2: Hanya mengizinkan pengguna dengan ID Akun 1746xxxxxx untuk melakukan operasi terkait OSS pada bucket examplebucket dari VPC dengan ID vpc-bp******.

        {
  "Version": "1",
  "Statement":
    [
      {
        "Effect": "Deny",
        "Action": ["oss:ListObjects","oss:GetObject","oss:PutObject","oss:DeleteObject"],
        "Resource": ["acs:oss:*:*:examplebucket",
                     "acs:oss:*:*:examplebucket/*"],
        "Principal": ["*"],
	"Condition": {
	  "StringNotEquals": {
            "acs:SourceVpc": [
	      "vpc-bp******"
	    ]
	  }
	}
      },{
        "Effect": "Allow",
        "Action": ["oss:*"],
        "Resource": ["acs:oss:*:*:examplebucket",
                     "acs:oss:*:*:examplebucket/*"],
        "Principal": ["1746xxxxxx"],
	"Condition": {
	  "StringEquals": {
            "acs:SourceVpc": [
	      "vpc-bp******"
	    ]
	  }
	}
      }
    ]
}

      4. Setelah mengonfigurasi kebijakan, klik Save.

    3. Verifikasi kebijakan akses.

      Catatan: Pengguna RAM harus memiliki izin pada bucket OSS terkait. Jika tidak, akses dapat gagal.

      1. Akses dari akun yang diizinkan ke bucket yang diizinkan dalam VPC yang diizinkan berhasil.

      2. Akses gagal jika akun, VPC, atau bucket tidak diizinkan.

    Ubah kebijakan otorisasi

    Ubah kebijakan otorisasi untuk menyesuaikan VPC, bucket, atau akun yang diizinkan.

    • Untuk menyesuaikan VPC yang diizinkan: Buka halaman Konsol OSS - Buckets, klik nama bucket target, lalu pilih Permission Control > Bucket Policy di panel navigasi kiri. Ubah bidang Condition dalam kebijakan yang ada untuk menambahkan atau menghapus VPC yang dapat mengakses bucket tersebut.

    • Untuk menyesuaikan bucket yang diizinkan:

      1. Buka halaman Konsol VPC - Gateway Endpoint, klik ID instance gateway endpoint target, lalu pilih tab Endpoint Policy. Ubah bidang Resource dalam kebijakan yang ada untuk menambahkan atau menghapus bucket yang dapat diakses oleh VPC.

      2. Buka halaman Konsol OSS - Buckets, klik nama bucket target, lalu pilih Permission Control > Bucket Policy di panel navigasi kiri. Ubah bidang Resource dalam kebijakan yang ada untuk menambahkan atau menghapus sumber daya bucket yang dapat diakses. Jika melibatkan beberapa bucket, Anda harus melakukan operasi ini untuk setiap bucket.

    • Untuk menyesuaikan akun yang diizinkan:

      Catatan: Pengguna RAM harus memiliki izin pada bucket OSS terkait. Jika tidak, akses dapat gagal.

      1. Buka halaman Konsol VPC - Gateway Endpoint, klik ID instance gateway endpoint target, lalu pilih tab Endpoint Policy. Ubah bidang Principal dalam kebijakan yang ada untuk menambahkan atau menghapus akun yang dapat mengakses bucket dalam VPC.

      2. Buka halaman Konsol OSS - Buckets, klik nama bucket target, lalu pilih Permission Control > Bucket Policy di panel navigasi kiri. Ubah bidang Principal dalam kebijakan yang ada untuk menambahkan atau menghapus akun yang dapat mengakses bucket dalam VPC. Jika melibatkan beberapa bucket, Anda harus melakukan operasi ini untuk setiap bucket.

    Asosiasikan atau pisahkan tabel rute

    Asosiasikan atau pisahkan tabel rute untuk mengontrol vSwitch mana yang dapat mengakses layanan Alibaba Cloud melalui gateway endpoint.

    1. Buka halaman Konsol VPC - Gateway Endpoint dan klik ID instance gateway endpoint target.

    2. Di tab Associated Route Tables:

      1. Untuk mengasosiasikan tabel rute baru, klik Associate with Route Table. Setelah asosiasi selesai, Anda dapat menemukan entri rute yang ditambahkan sistem dengan lompatan berikutnya mengarah ke gateway endpoint di entri rute kustom tabel rute terkait.

      2. Untuk memisahkan tabel rute yang sudah ada, klik Disassociate di sebelah tabel rute target. Setelah pemisahan, entri rute yang ditambahkan sistem akan dihapus secara otomatis.

    Hapus gateway endpoint

    Untuk menghapus gateway endpoint, Anda harus terlebih dahulu memisahkan semua tabel rute yang terasosiasi.

    1. Pisahkan semua tabel rute yang terasosiasi.

    2. Buka halaman Konsol VPC - Gateway Endpoint dan klik Delete di sebelah kanan instance gateway endpoint target.

    3. (Opsional) Karena kebijakan bucket tetap berlaku, VPC lain masih dibatasi untuk mengakses bucket tersebut. Untuk menyesuaikan, buka halaman Konsol OSS - Buckets, klik bucket target, lalu pilih Permission Control > Bucket Policy. Sesuaikan atau hapus kebijakan yang hanya mengizinkan akses dari VPC tertentu.

    API

    1. Gateway endpoint:

      1. Untuk membuat gateway endpoint dan mengonfigurasi kebijakan endpoint, panggil operasi CreateVpcGatewayEndpoint.

        1. Saat memanggil operasi ini, Anda harus menentukan parameter ServiceName. Anda dapat memanggil operasi ListVpcEndpointServicesByEndUser untuk menanyakan layanan endpoint yang tersedia.

        2. Parameter PolicyDocument digunakan untuk mengonfigurasi kebijakan endpoint. Sintaksnya sama dengan bahasa kebijakan izin Resource Access Management (RAM).

      2. Ubah kebijakan gateway endpoint: Panggil operasi UpdateVpcGatewayEndpointAttribute dan tentukan parameter PolicyDocument.

      3. Asosiasikan tabel rute: Panggil operasi AssociateRouteTablesWithVpcGatewayEndpoint.

      4. Pisahkan tabel rute: Panggil operasi DissociateRouteTablesFromVpcGatewayEndpoint.

      5. Hapus gateway endpoint: Panggil operasi DeleteVpcGatewayEndpoint.

    2. Bucket OSS:

      1. Konfigurasikan kebijakan bucket untuk OSS: Panggil operasi PutBucketPolicy.

      2. Ubah kebijakan bucket: Panggil operasi PutBucketPolicy dan tentukan kebijakan izin dalam format JSON.

      3. Hapus kebijakan bucket: Panggil operasi DeleteBucketPolicy.

    Terraform

    Konfigurasikan gateway endpoint:

    Resource: alicloud_vpc_gateway_endpoint
    Catatan: Untuk menghapus gateway endpoint, Anda harus terlebih dahulu memisahkan semua tabel rute yang terasosiasi.
    provider "alicloud" {
  region = "cn-hangzhou"
}

resource "alicloud_vpc_gateway_endpoint" "default" {
  gateway_endpoint_name = "gateway-endpoint-name"        # Nama gateway endpoint.
  service_name          = "com.aliyun.cn-hangzhou.oss"   # Nama layanan OSS.
  vpc_id                = "vpc-bp******"                 # ID VPC tempat gateway endpoint berada.
  route_tables = ["vtb-bp******","vtb-bp******"]         # ID tabel rute yang terasosiasi.
  # Kebijakan endpoint.
  policy_document       = <<EOF
   {
    "Version": "1",
    "Statement":
     [
       {
        "Effect": "Allow",
        "Action": "oss:*",
        "Resource": ["acs:oss:*:*:examplebucket","acs:oss:*:*:examplebucket/*"],
        "Principal": ["1746******"]
      }
    ]
  }
  EOF                                              
}

    Konfigurasikan kebijakan bucket untuk OSS:

    Resource: alicloud_oss_bucket_policy
    provider "alicloud" {
  region = "cn-hangzhou"
}

resource "alicloud_oss_bucket_policy" "default" {
  bucket = "examplebucket"  # Nama bucket.
  
  policy = jsonencode({
    Version = "1"
    Statement = [
      {
        Effect = "Deny"
        Action = [
          "oss:ListObjects",
          "oss:GetObject",
          "oss:PutObject",
          "oss:DeleteObject"
        ]
        Principal = [
          "*"
        ]
        Resource = [
          "acs:oss:*:*:examplebucket",
          "acs:oss:*:*:examplebucket/*"
        ]
        Condition = {
          StringNotEquals = {
            "acs:SourceVpc" = [
              "vpc-bp******"  # Ganti dengan ID VPC aktual Anda.
            ]
          }
        }
      },{
        Effect = "Allow"
        Action = [
          "oss:*"
        ]
        Principal = [
          "1746xxxxxx"  # Ganti dengan ID Akun aktual Anda.
        ]
        Resource = [
          "acs:oss:*:*:examplebucket",
          "acs:oss:*:*:examplebucket/*"
        ]
        Condition = {
          StringEquals = {
            "acs:SourceVpc" = [
              "vpc-bp******"  # Ganti dengan ID VPC aktual Anda.
            ]
          }
        }
      }
    ]
  })
}

    PrivateLink

    Panduan berikut mencakup skenario umum PrivateLink:

    Informasi selengkapnya

    Penagihan

    Gateway endpoint gratis.

    Penagihan PrivateLink: Penagihan PrivateLink.

    Wilayah yang didukung

    Area

    Wilayah

    Asia Pasifik - Tiongkok

    Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Shenzhen), Tiongkok (Ulanqab), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Chengdu), dan Tiongkok (Hong Kong)

    Asia Pasifik lainnya

    Jepang (Tokyo), Singapura, Malaysia (Kuala Lumpur), dan Indonesia (Jakarta)

    Eropa dan Amerika

    Jerman (Frankfurt), Inggris (London), AS (Silicon Valley), dan AS (Virginia)

    Timur Tengah

    UEA (Dubai)

    Wilayah dan zona yang mendukung PrivateLink: Wilayah dan zona yang mendukung PrivateLink.

    Kuota

    Kuota gateway endpoint:

    1. VPC hanya dapat diasosiasikan dengan satu gateway endpoint per layanan Alibaba Cloud, dan tabel rute hanya dapat diasosiasikan dengan satu gateway endpoint.

    2. Satu gateway endpoint dapat diasosiasikan dengan beberapa tabel rute VPC.

    Kuota PrivateLink: Kuota layanan.