访问控制(RAM)是阿里云提供的一项管理用户身份与资源访问权限的服务。

功能特性

RAM允许在一个云账号下创建并管理多个身份,并允许给单个身份或一组身份分配不同的权限,从而实现不同用户拥有不同的云资源访问权限。RAM的功能特性如下:

  • 集中控制RAM用户及其密钥:管理每个RAM用户及其访问密钥,为用户绑定多因素认证(MFA)设备。
  • 集中控制RAM用户的访问权限:控制每个RAM用户访问资源的权限。
  • 集中控制RAM用户的资源访问方式:确保RAM用户在指定的时间和网络环境下,通过安全信道访问特定的阿里云资源。
  • 集中控制云资源:对RAM用户创建的实例或数据进行集中控制。当用户离开组织时,实例或数据不会丢失。
  • 单点登录管理(SSO):支持与企业身份提供商(IdP)进行用户SSO或角色SSO。

应用场景

应用场景 描述
用户管理与分权 企业A的某个项目(Project-X)上云,购买了多种阿里云资源,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,需要的权限也不同。
移动设备应用使用临时安全令牌访问阿里云 企业A开发了一款移动应用(App),并购买了对象存储(OSS)服务。App需要直连OSS上传或下载数据,但是App运行在用户自己的移动设备上,这些设备不受企业A的控制。
跨云账号的资源授权 企业A购买了多种阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。企业A希望将部分业务授权给企业B。
对云上应用进行动态身份管理与授权 企业A购买了ECS实例,并计划在ECS中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API。
RAM资源分组与授权 游戏公司A正在开发3个游戏项目,每个游戏项目都会用到多种云资源。公司A只有1个阿里云账号,该云账号下有超过100个ECS实例。

产品优势

使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。

接入地址

用于API访问的RAM接入地址为:https://RAM.aliyuncs.com

学习路径图

您可以通过RAM学习路径图快速了解RAM,学习相关的基础操作,并利用丰富的API、SDK包和便捷工具进行二次开发。