Mengontrol Akses Pengguna RAM dengan Kebijakan Tingkat Sumber Daya untuk EDS - Elastic Desktop Service

Dalam skenario di mana beberapa pengguna akhir mengakses sumber daya dalam Elastic Desktop Service (EDS) secara bersamaan, Anda dapat membuat beberapa Pengguna Manajemen Akses Sumber Daya (RAM) dan memberikan izin kepada pengguna RAM berdasarkan peran mereka. Dengan cara ini, pengguna RAM yang berbeda dapat mengakses dan mengelola sumber daya yang berbeda, meningkatkan efisiensi manajemen serta mengurangi risiko kebocoran data. Topik ini menjelaskan cara menggunakan otentikasi sumber daya untuk mengontrol izin pengguna RAM, memungkinkan mereka memiliki izin akses dan operasi yang berbeda pada sumber daya komputer cloud.

Prasyarat

Pengguna RAM telah dibuat. Untuk informasi lebih lanjut tentang cara membuat pengguna RAM, lihat Buat pengguna RAM.

Informasi latar belakang

Alibaba Cloud menyediakan kontrol akses berbasis kebijakan. Anda dapat mengonfigurasi kebijakan untuk pengguna RAM berdasarkan peran mereka. Anda juga dapat membuat kebijakan tingkat sumber daya kustom dan melampirkannya ke pengguna RAM atau grup pengguna. Untuk informasi lebih lanjut tentang kebijakan, lihat Ikhtisar Kebijakan.
RAM mendukung otorisasi berdasarkan operasi. Otentikasi tingkat sumber daya memungkinkan Anda mengelola sumber daya komputer cloud dengan cara yang lebih fleksibel. Untuk informasi lebih lanjut tentang RAM, lihat Apa itu RAM?

Wilayah yang tersedia

Tabel berikut menjelaskan wilayah di mana Anda dapat menggunakan kebijakan tingkat sumber daya untuk mengelola izin pengguna RAM.

Wilayah	ID Wilayah
Cina (Hangzhou)	cn-hangzhou
Cina (Shanghai)	cn-shanghai
Cina (Shenzhen)	cn-shenzhen
Cina (Beijing)	cn-beijing
Singapura	ap-southeast-1
Jepang (Tokyo)	ap-northeast-1
Filipina (Manila)	ap-southeast-6

Skenario

Tabel berikut menjelaskan cara melampirkan kebijakan tingkat sumber daya ke pengguna RAM dalam skenario yang berbeda.

Skenario

Kebijakan

Skenario 1: Buat komputer cloud dan konfigurasikan kebijakan tingkat sumber daya untuk otentikasi. Buat dua komputer cloud.

Nama Komputer Cloud 1: desktop 1
Nama Komputer Cloud 2: desktop 2

Pengguna RAM dapat melakukan operasi pada sumber daya tertentu dari desktop 1. Pengguna RAM tidak dapat melakukan operasi pada desktop 2.

Skenario 2: Konfigurasikan kebijakan tingkat sumber daya dan buat komputer cloud.

Pengguna RAM hanya dapat membuat komputer cloud di wilayah yang ditentukan, seperti wilayah Cina (Hangzhou).

Skenario 1

Buat dua komputer cloud. Untuk informasi lebih lanjut, lihat Buat komputer cloud.
Anda dapat menamai dua komputer cloud tersebut sebagai desktop 1 dan desktop 2.

Buat kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.

Kebijakan kustom dalam bagian ini memungkinkan pengguna RAM untuk melihat, memodifikasi, dan menghapus sumber daya desktop 1 di konsol EDS atau dengan memanggil API EDS.

Kode sampel berikut memberikan contoh kebijakan:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ecd:*",
      "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-akk6qnr7cc9yq****"
    },
    {
      "Effect": "Deny",
      "Action": "ecd:*",
      "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-3d3y5w4vd56a8****"
    },
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": [
        "acs:ecd:*:*:officesite/*",
        "acs:ecd:*:*:ecdpolicy/*",
        "acs:ecd:*:*:ecdimage/*",
        "acs:ecd:*:*:ecdbundle/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecd:DescribeRegions"
      ],
      "Resource": "*"
    }
  ]
}

Lampirkan kebijakan kustom ke pengguna RAM yang ingin Anda kelola izin aksesnya pada sumber daya EDS. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.
Lihat, modifikasi, atau hapus desktop1 dan desktop2 di konsol ECS atau dengan memanggil API EDS.
Pengguna RAM hanya dapat melihat, memodifikasi, atau menghapus sumber daya desktop1. Saat pengguna RAM melakukan operasi pada desktop 2, pesan berikut akan muncul. Dalam hal ini, kebijakan kustom berlaku.

Skenario 2

Masuk ke Konsol RAM.

Buat kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.

Kebijakan kustom yang dibuat dalam bagian ini memungkinkan pengguna RAM untuk mengelola komputer cloud hanya di wilayah Cina (Shanghai). Artinya, pengguna RAM hanya dapat membuat, melihat, atau menghapus sumber daya komputer cloud yang diterapkan di wilayah Cina (Shanghai) dengan menggunakan konsol EDS atau memanggil API EDS.

Kode sampel berikut memberikan contoh kebijakan:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ecd:*",
            "Resource": "acs:ecd:cn-shanghai:128985087662****:*"
        },
        {
            "Effect": "Deny",
            "Action": "ecd:*",
            "Resource": "acs:ess:cn-hangzhou:128985087662****:*"
        },
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": [
                "acs:ecd:*:*:officesite/*",
                "acs:ecd:*:*:ecdpolicy/*",
                "acs:ecd:*:*:ecdimage/*",
                "acs:ecd:*:*:ecdbundle/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecd:DescribeRegions"
            ],
            "Resource": "*"
        }
    ]
}

Lampirkan kebijakan kustom ke pengguna RAM yang ingin Anda kelola izin aksesnya pada sumber daya EDS. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.
Buat komputer cloud di konsol EDS atau dengan memanggil API EDS.
Pengguna RAM dapat membuat, melihat, atau menghapus sumber daya komputer cloud di wilayah Cina (Shanghai). Jika pengguna RAM melakukan operasi pada komputer cloud di wilayah Cina (Hangzhou), pesan berikut akan muncul. Dalam hal ini, kebijakan kustom berlaku.