Elastic Desktop Service：Gunakan modul pengelolaan izin EDS untuk kontrol akses

Skenario

Akun Alibaba Cloud yang Anda gunakan untuk login ke konsol EDS memiliki izin penuh atas fitur dan resource EDS. Jika perusahaan Anda memiliki struktur organisasi yang kompleks, banyak departemen, serta jumlah karyawan dan komputer cloud yang besar, satu administrator saja tidak cukup untuk mengelola semua tugas. Selain itu, hanya memiliki satu administrator tidak memenuhi persyaratan isolasi izin untuk kebutuhan bisnis. Dalam skenario ini, administrator utama memerlukan satu atau lebih sub-administrator untuk membantu mengelola tugas. Persyaratan berikut harus dipenuhi:

• Sub-administrator yang berbeda memiliki tingkat izin yang berbeda. Misalnya, Sub-administrator A dapat membuat dan mengelola pengguna tetapi tidak dapat membuat dan mengelola komputer cloud, sedangkan Sub-administrator B hanya dapat melihat data dan tidak dapat melakukan operasi lainnya.

• Akses ke data yang berbeda dibatasi berdasarkan izin tertentu. Misalnya, Sub-administrator C hanya memiliki izin untuk melihat dan mengelola komputer cloud di departemen R&D, sedangkan Sub-administrator D hanya memiliki izin untuk melihat dan mengelola komputer cloud di departemen desain.

Solusi

Modul pengelolaan izin yang disediakan oleh EDS dapat memenuhi persyaratan tersebut.

Modul pengelolaan izin menerapkan isolasi izin pada dimensi berikut:

• Dimensi karyawan: Sub-administrator dapat dibuat, dengan izin terhadap fitur ditentukan oleh perannya dan izin terhadap data ditentukan oleh kelompok sumber daya yang dikelolanya.

• Dimensi fitur: Tersedia peran default yang dapat digunakan, serta peran kustom yang juga dapat dibuat. Peran adalah kumpulan izin yang menentukan modul fitur mana yang boleh diakses pengguna dan aksi apa saja yang boleh dilakukan pengguna, sehingga membantu menerapkan kontrol izin fitur. EDS menyediakan peran default berikut:

  • Super administrator: peran dengan izin penuh untuk mengakses dan mengelola semua sumber daya cloud dan fitur. Hanya super administrator yang dapat membuat dan mengelola peran administrator lainnya.

  • System administrator: peran dengan izin untuk mengelola sumber daya cloud, memberikan otorisasi akses ke sumber daya, memantau status sistem, dan menjalankan tugas O&M. System administrator tidak dapat membuat atau mengelola pengguna.

  • Security audit administrator: peran dengan izin untuk melihat data. Security audit administrator tidak dapat mengakses modul fitur.

  • Security administrator: peran dengan izin untuk membuat dan mengelola pengguna serta memantau status pemrosesan informasi keamanan. Security administrator tidak dapat mengelola sumber daya cloud.

• Dimensi data: Didukung penggunaan kelompok sumber daya sebagai cara untuk mengisolasi izin. Kelompok sumber daya adalah kontainer untuk sumber daya komputer cloud dan membantu menerapkan isolasi izin.

Tabel berikut menjelaskan solusi untuk memenuhi contoh persyaratan di atas.

Buat peran

Selain menggunakan peran default, Anda juga dapat membuat peran kustom yang sesuai dengan kebutuhan bisnis Anda. Kemudian, Anda dapat menyambungkan peran kustom tersebut ke sub-administrator untuk menerapkan isolasi izin fitur.

1. Login ke Elastic Desktop Service Enterprise console.

2. Di panel navigasi sebelah kiri, pilih Security & Audits > Administrator Permissions. Di halaman Administrator Permissions, klik tab Role.

3. Di tab Role, klik Create Role, konfigurasikan parameter berikut, lalu klik OK.

   • Name: Masukkan nama untuk peran tersebut.

   • Parent Role: Pilih peran default sebagai peran induk untuk peran yang ingin Anda buat.

     Setelah Anda memilih peran induk, semua izin dari peran induk akan dimuat di bagian Configure Permission, yang membantu Anda menyelesaikan otorisasi peran.

   • Description: Masukkan deskripsi untuk peran tersebut agar lebih mudah dibedakan dari peran lainnya. Parameter ini bersifat opsional.

Langkah selanjutnya

Peran yang baru dibuat akan ditampilkan di tab Role.

• Jika ingin mengubah peran kustom, temukan peran tersebut di tab Role dan klik Edit di kolom Actions.

• Jika ingin menghapus peran kustom, temukan peran tersebut di tab Role dan klik Delete di kolom Actions.

Buat kelompok sumber daya

Anda dapat membuat kelompok sumber daya dan menambahkan komputer cloud ke dalam kelompok tersebut untuk dikelola. Selanjutnya, Anda dapat memberikan izin atas kelompok sumber daya yang berbeda kepada sub-administrator yang berbeda, sehingga membantu menerapkan isolasi izin data.

1. Di panel navigasi sebelah kiri, pilih Resources > Resource Groups

2. Di halaman Resource Groups, klik Create Resource Group dan masukkan nama untuk kelompok sumber daya yang ingin Anda buat.

   Catatan

   Nama harus terdiri dari 1 hingga 30 karakter. Nama harus diawali dengan huruf dan tidak boleh diawali dengan http:// atau https://. Nama dapat berisi huruf, angka, titik dua (:), garis bawah (_), titik (.), dan tanda hubung (-).

3. Di pesan Configure Resources and Authorize, klik Go Now.

4. Di tab Manage Resource, klik Transfer In. Di panel Transfer In, pilih komputer cloud yang ingin Anda tambahkan ke kelompok tersebut dan klik Confirm.

Langkah selanjutnya

Kelompok sumber daya yang baru dibuat akan ditampilkan di halaman Resource Groups.

• Jika ingin memberikan atau mencabut izin atas kelompok sumber daya kepada atau dari sub-administrator, temukan kelompok sumber daya tersebut di halaman Resource Groups dan klik Manage Authorization di kolom Actions. Di tab Manage Authorization, klik Authorize Administrator untuk memberikan atau mencabut izin sesuai kebutuhan bisnis Anda.

  Catatan

  Jika ingin memberikan izin atas kelompok sumber daya kepada sub-administrator yang belum ada, Anda dapat mengklik Create Administrator di bagian bawah daftar administrator.

• Jika ingin menambahkan atau menghapus resource ke atau dari kelompok sumber daya, temukan kelompok sumber daya tersebut di halaman Resource Groups dan klik Manage Resource di kolom Actions.

  Catatan

  Di tab Manage Resource, klik ikon di kolom User, pilih Users Unassigned Resource, lalu klik OK. Resource yang tidak terpakai akan difilter.

  

• Jika ingin mengubah nama kelompok sumber daya, temukan kelompok sumber daya tersebut di halaman Resource Groups dan klik Edit di kolom Actions.

• Jika ingin menghapus kelompok sumber daya, temukan kelompok sumber daya tersebut di halaman Resource Groups dan klik Delete di kolom Actions.

Buat sub-administrator dan konfigurasikan cakupan otorisasi

Saat membuat sub-administrator, Anda dapat menerapkan isolasi izin fitur dengan menyambungkan peran kepadanya, serta menerapkan isolasi izin data dengan memberikan izin kelompok sumber daya atau jenis resource kepadanya.

1. Di panel navigasi sebelah kiri, pilih Security & Audits > Administrator Permissions.

2. Di halaman Administrator Permissions, klik Create Administrator, konfigurasikan parameter berikut, lalu klik OK.

   • Associate with RAM User: Pengguna Resource Access Management (RAM) yang digunakan sub-administrator untuk login ke konsol EDS guna menyelesaikan tugas manajemen. Asosiasikan pengguna RAM dengan sub-administrator menggunakan salah satu metode berikut:

     • Pilih pengguna RAM yang sudah ada di akun Alibaba Cloud saat ini: Klik Existing RAM Users dan pilih peran RAM dari daftar drop-down.

     • Buat pengguna RAM baru: Klik Create RAM User. Di halaman RAM Quick Authorization, klik Authorize.

       Catatan

       Nama dan password awal pengguna RAM dikirimkan kepada sub-administrator melalui alamat email atau nomor ponsel yang ditentukan.

   • Nickname: Nama tampilan sub-administrator.

   • Role: Peran default atau kustom yang dijalankan sub-administrator. Peran ini menentukan izin yang diberikan kepada sub-administrator.

   • Email Address: Alamat email sub-administrator, yang digunakan untuk menerima kredensial logon pengguna RAM.

   • Mobile Number: Nomor ponsel sub-administrator, yang digunakan untuk menerima kredensial logon pengguna RAM. Parameter ini bersifat opsional.

3. Di tab Administrator, temukan sub-administrator yang baru dibuat dan klik Manage Authorization di kolom Actions.

4. Di panel Manage Authorization, konfigurasikan cakupan otorisasi dan klik Confirm. Anda dapat memberikan izin berdasarkan jenis resource dan kelompok sumber daya. Cakupan otorisasi akhir merupakan kombinasi dari kedua dimensi tersebut.

   1. Resource Type: Anda dapat memilih Cloud Computer atau User.

      Penting

      Setelah Anda memilih jenis resource tertentu untuk sub-administrator, sub-administrator tersebut akan memiliki izin manajemen penuh atas jenis resource tersebut, termasuk resource masa depan dengan jenis yang sama. Misalnya, jika Anda memilih Cloud Computer, sub-administrator memiliki izin manajemen atas semua komputer cloud di akun Alibaba Cloud saat ini, termasuk komputer cloud yang akan dibeli di masa depan.

   2. Available Resource Group: Di bagian Available Resource Group, pilih kelompok sumber daya yang izinnya ingin Anda berikan kepada sub-administrator dan klik ikon untuk memindahkannya ke bagian Authorized Resource Group.

Login ke konsol EDS sebagai sub-administrator

Sub-administrator dapat memperoleh kredensial logon ke konsol EDS melalui alamat email atau pesan teks.

1. Buka halaman RAM User Logon.

2. Di kotak teks Username, masukkan username yang diperoleh dan klik Next.

   Contoh username: AU-492b4a18-****-****-****-****@1161219343******.onaliyun.com

3. Di kotak teks Password, masukkan password awal yang diperoleh dan klik Log On.

   Contoh password: AP:269fa57f-34c6-4818-af98-bccb7fb6****

4. (Bersyarat) Saat pertama kali mengunjungi halaman RAM User Logon, reset password pengguna sesuai petunjuk.

   Password baru tersebut diperlukan untuk login di masa mendatang.

5. Login ke Elastic Desktop Service Enterprise console.