全部产品
Search

搜索本产品

    Elastic Desktop Service:Implementasikan kontrol akses granular dengan menggunakan tag

    文档中心

    Elastic Desktop Service:Implementasikan kontrol akses granular dengan menggunakan tag

    更新时间:Jul 06, 2025

    Elastic Desktop Service (EDS) Enterprise menyediakan manajemen izin akses untuk komputer cloud. Pengguna Resource Access Management (RAM) dapat diberi otorisasi untuk melihat dan mengoperasikan komputer cloud serta diberikan izin akses untuk komputer cloud dengan tag tertentu. Topik ini menjelaskan cara menggunakan tag untuk mengelola izin pengguna RAM. Dengan menggunakan tag, Anda dapat mengontrol komputer cloud mana yang dapat diakses oleh pengguna RAM dan operasi apa yang diizinkan.

    Informasi latar belakang

    Tag digunakan untuk mengidentifikasi dan mengkategorikan sumber daya cloud, memungkinkan pencarian dan pengelompokan sumber daya berdasarkan karakteristik serupa di berbagai dimensi. RAM memungkinkan Anda mengatur identitas pengguna dan mengelola akses ke sumber daya cloud melalui kontrol berbasis kebijakan. Saat mengintegrasikan tag dengan RAM, Anda dapat menggunakan tag sebagai kondisi dalam kebijakan RAM untuk memberikan kontrol akses granular atas sumber daya. Untuk informasi lebih lanjut tentang tag dan RAM, lihat Tag dan Apa itu RAM?

    Gambar berikut menunjukkan cara mengelola izin pengguna RAM dengan menggunakan tag.

    Batasan penggunaan

    EDS Enterprise mendukung kontrol akses granular melalui penggunaan tag, tetapi fitur ini terbatas pada komputer cloud. Kontrol akses berbasis tag tidak tersedia untuk manajemen pengguna atau manajemen sumber daya.

    Kontrol akses berbasis tag hanya didukung di wilayah berikut:

    • Cina (Hangzhou)

    • Cina (Shanghai)

    • Cina (Shenzhen)

    • Cina (Beijing)

    • Singapura

    • Jepang (Tokyo)

    • Filipina (Manila)

    Skenario

    Konfigurasi sampel yang disediakan dalam topik ini menunjukkan cara mengimplementasikan kontrol akses berbasis tag dengan menggabungkan skenario berikut. Sebagai contoh, Anda memiliki komputer cloud dengan tag owner:tony. owner adalah kunci tag dan tony adalah nilai tag.

    • Skenario 1: Pengguna RAM tidak dapat membuat komputer cloud tanpa tag owner:tony.

    • Skenario 2: Pengguna RAM hanya dapat mengoperasikan komputer cloud dengan tag owner:tony.

    Konfigurasi sampel

    Pada bagian berikut, akun Alibaba Cloud digunakan untuk membuat kebijakan kustom bernama UseTagCreateECD. Kebijakan ini menentukan bahwa pengguna RAM hanya dapat membuat, melihat, dan mengoperasikan komputer cloud dengan tag owner:tony. Kebijakan kustom UseTagCreateECD kemudian dilampirkan ke pengguna RAM Testuser.

    Langkah 1: Buat kebijakan kustom

    1. Masuk ke Konsol RAM menggunakan akun Alibaba Cloud.

    2. Buat kebijakan kustom di tab JSON. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom di tab JSON.

      Catatan

      Kebijakan menetapkan batas otorisasi melalui set izin. Setiap kebijakan berisi pengenal versi skema dan pernyataan aturan deklaratif. Setiap pernyataan terdiri dari atribut wajib, termasuk Effect, Action, Resource, dan Condition (opsional). Untuk informasi lebih lanjut, lihat Elemen dasar kebijakan dan Struktur dan sintaks kebijakan.

      Otorisasi berbasis tag memungkinkan kontrol akses granular melalui blok Condition.

      Contoh berikut menggambarkan kendala conditional multi-tag untuk komputer cloud.

      Otorisasi bersyarat berbasis tag

      Deskripsi

      acs:RequestTag

      Mewajibkan penyertaan tag dalam panggilan API.

      Otentikasi gagal ketika kebijakan berisi acs:RequestTag tetapi permintaan tidak memiliki parameter tag.

      acs:ResourceTag

      Mewajibkan penyertaan tag pada sumber daya.

      Otorisasi gagal jika kebijakan berisi acs:ResourceTag tetapi permintaan menghilangkan ID sumber daya.

      Tabel berikut menjelaskan kebijakan kustom spesifik skenario.

      • Skenario 1: Komputer cloud hanya dapat dibuat jika Anda menambahkan tag owner:tony ke komputer cloud tersebut.

        {
    "Action":"ecd:CreateDesktops",
    "Effect":"Allow",
    "Condition":{
        "StringEquals":{
            "acs:RequestTag/owner":[
                "tony"
            ]
        }
    },
    "Resource":"acs:ecd:*:*:ecddesktop/*"
}

      • Skenario 2: Hanya komputer cloud dengan tag owner:tony yang dapat dioperasikan.

        {
    "Action":"ecd:*",
    "Effect":"Allow",
    "Condition":{
        "StringEquals":{
            "acs:ResourceTag/owner":[
                "tony"
            ]
        }
    },
    "Resource":"acs:ecd:*:*:ecddesktop/*"
}

      Kode sampel berikut menunjukkan kebijakan kustom lengkap:

      {
    "Version": "1",
    "Statement": [
        {
            "Action": "ecd:CreateDesktops",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:RequestTag/owner": [
                        "tony"
                    ]
                }
            },
            "Resource": "acs:ecd:*:*:ecddesktop/*"
        },
        {
            "Action": "ecd:*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/owner": [
                        "tony"
                    ]
                }
            },
            "Resource": "acs:ecd:*:*:ecddesktop/*"
        },
        {
            "Action": [
                "*:List*",
                "*:Describe*",
                "bss:PayOrder"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": [
                "acs:ecd:*:*:officesite/*",
                "acs:ecd:*:*:ecdpolicy/*",
                "acs:ecd:*:*:ecdimage/*",
                "acs:ecd:*:*:ecdbundle/*"
            ]
        }
    ]
}

      Setelah Anda menyusun kebijakan, klik OK di halaman Create Policy.

    3. Dalam kotak dialog Create Policy, masukkan nama kebijakan dan klik OK.

      Contoh: UseTagCreateECD.

      db_ram_console_create_access_policy

    Langkah 2: Lampirkan kebijakan kustom ke pengguna RAM

    1. Di panel navigasi sisi kiri Konsol RAM, pilih Identities > Users.

    2. Buat pengguna RAM. Untuk informasi lebih lanjut tentang operasi spesifik, lihat Buat pengguna RAM.

      Catatan

      Jika Anda ingin melampirkan kebijakan ke pengguna RAM yang sudah ada, lewati langkah ini.

    3. Lampirkan kebijakan ke pengguna RAM. Untuk informasi lebih lanjut tentang operasi spesifik, lihat Berikan izin kepada pengguna RAM.

    Langkah 3: Periksa apakah kebijakan berlaku

    1. Masuk ke Konsol EDS Enterprise atau platform OpenAPI Explorer sebagai pengguna RAM.

    2. Lakukan operasi terkait di konsol EDS Enterprise atau dengan memanggil operasi API untuk menguji apakah kebijakan berlaku.

      • Buat komputer cloud untuk memverifikasi Skenario 1

        • Anda dapat membuat komputer cloud jika Anda menambahkan tag owner:tony ke komputer cloud.

        • Jika Anda tidak menambahkan tag owner:tony, atau Anda menambahkan tag lain saat membuat komputer cloud, pesan berikut muncul, yang memberi tahu Anda tentang izin yang tidak cukup: 创建云桌面

      • Lepaskan komputer cloud untuk memverifikasi Skenario 2

        • Anda dapat melepaskan komputer cloud yang memiliki tag owner:tony.

        • Jika Anda melepaskan komputer cloud yang tidak memiliki tag owner:tony atau memiliki tag lain, pesan berikut muncul, yang memberi tahu Anda tentang izin yang tidak cukup: 创建云桌面

    Operasi API yang mendukung otentikasi berbasis tag

    Setelah melampirkan kebijakan berbasis tag ke pengguna RAM, pengguna RAM dapat menggunakan otentikasi berbasis tag untuk mengelola komputer cloud melalui EDS API. Untuk informasi lebih lanjut, lihat Daftar operasi berdasarkan fungsi.