文档

访问控制RAM介绍

更新时间:

访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份和资源访问权限的服务,可为人员和云服务指定身份并授予资源访问权限,从而实现对阿里云资源的访问控制。

身份管理

访问控制RAM中的身份包括实体身份(RAM用户、RAM用户组)和虚拟身份(RAM角色)。

  • RAM用户拥有独立的登录密码和访问密钥,而RAM用户组则用于集中管理具有相似职责的RAM用户。两者均可分配权限策略。这种方式能够避免在协同使用资源时直接共享阿里云账号的密码,从而减小了敏感信息的暴露风险。同时,通过赋予最小权限,即使发生信息泄露,也不会对阿里云账号下的所有资源造成威胁。

  • RAM角色具有独立的身份和一组权限策略,但无独立的登录密码或访问密钥。它需要由受信实体扮演,从而获得相应权限。在云产品通信中,将RAM角色绑定到受信实体(如ECS实例)后,受信实体便可通过STS(Security Token Service)临时凭证访问其他云产品的API。这种方式避免了将AccessKey写入配置文件等高风险操作,确保AccessKey的安全性。

权限管理

访问控制RAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素,更多信息,请参见权限策略基本元素。为RAM用户、RAM用户组、RAM角色添加一组权限策略后,即可让其有权限访问指定资源。

权限策略分为系统策略和自定义策略。

  • 系统策略:阿里云预定义的常用权限策略,您只能使用,不能修改。部分云服务器ECS相关的系统策略如下表:

    系统策略名称

    说明

    AliyunECSFullAccess

    云服务器ECS的管理权限,包括创建、查看、删除相关资源等操作。

    AliyunECSReadOnlyAccess

    云服务器ECS的只读权限,只可查看相关资源。

    AliyunECSNetworkInterfaceManagementAccess

    弹性网卡的管理权限,包括创建、查看、删除弹性网卡等操作。

    AliyunECSAssistantFullAccess

    云助手命令的管理权限,包括创建、执行、查看、删除云助手命令等操作。

    AliyunECSAssistantReadonlyAccess

    云助手命令的只读权限,只可查看云助手命令相关信息。

    AliyunECSImageExportRolePolicy

    导出ECS实例镜像所需的权限,包括读取OSS Bucket、读写OSS Object等操作。

    AliyunECSImageImportRolePolicy

    导入镜像所需的权限,包括读取OSS Bucket、读取OSS Object操作。

    AliyunECSInstanceForYundunSysTrustRolePolicy

    安全增强型实例使用阿里云可信服务所需的权限。

    AliyunECSDiskEncryptRolePolicy

    加密云盘所需的权限。

    关于更多系统策略信息,请参见系统策略示例

  • 自定义策略:您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,请参见创建自定义权限策略权限策略示例库概览

应用示例

在企业内部控制员工的资源使用权限:

  1. 为需要创建和管理资源的职位创建SysAdmins用户组,并添加权限策略,授予执行所有操作的权限。

  2. 为需要使用资源的职位创建Developers用户组,并添加权限策略,授予调用StartInstance、StopInstance、DescribeInstances接口的权限。

  3. 为员工创建RAM用户,并按照各自职位加入用户组。

  4. 为加强网络安全控制,添加权限策略,规定如果组内用户的IP地址不是来自企业网络,则拒绝其访问资源。

  5. 如果某开发人员的职位变更为系统管理员,将其RAM用户从Developers用户组移动到SysAdmins用户组 。

  6. 如果Developers用户组的RAM用户需要更大权限,修改用户组的权限策略即可应用到用户组中的所有RAM用户。

为ECS实例绑定RAM角色,然后基于STS临时凭证访问其他阿里云产品:

  • AliyunECSImageExportDefaultRole:为ECS实例绑定该角色后,即可获得导出ECS实例镜像所需的权限,对应的默认权限策略为AliyunECSImageExportRolePolicy。

  • AliyunECSImageImportDefaultRole:为ECS实例绑定该角色后,即可获得导入镜像所需的权限,对应的默认权限策略为AliyunECSImageImportRolePolicy。

  • AliyunECSInstanceForYundunSysTrustRole:为ECS实例绑定该角色后,即可获得使用阿里云可信服务所需的权限,对应的默认权限策略为AliyunECSInstanceForYundunSysTrustRolePolicy。

  • AliyunECSDiskEncryptDefaultRole:为ECS实例绑定该角色后,即可获得加密云盘所需的权限,对应的默认权限策略为AliyunECSDiskEncryptRolePolicy。

  • 本页导读 (1)
文档反馈