访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。通过RAM,您可以创建、管理RAM用户,并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 设置,设置RAM用户的安全策略。具体操作,请参见设置RAM用户安全策略
  3. 在左侧导航栏,选择身份管理 > 用户,创建RAM用户。具体操作,请参见创建RAM用户
  4. 创建ROS相关操作的自定义权限策略。具体操作,请参见创建自定义策略
    说明
    • 关于权限策略语言的更多信息,请参见权限策略基本元素权限策略语法和结构
    • 关于ROS权限策略的详情和示例,请参见ROS权限策略。其中操作可作为策略中的Action元素的内容,Action元素表示授权的操作,Resource表示授权操作的资源。ActionResource元素一起可以组合出多种权限策略。
  5. 用户用户组页面列表中,找到要授权的RAM用户或RAM用户组,并给其授予权限。

ROS权限策略

  • ROS操作列表
    操作(Action) 描述
    ros:DescribeStacks 查看资源栈列表
    ros:CreateStack 创建资源栈
    ros:DeleteStack 删除资源栈
    ros:UpdateStack 更新资源栈
    ros:CancelUpdateStack 取消资源栈更新
    ros:AbandonStack 丢弃资源栈
    ros:ValidateTemplate 校验模板
    ros:DescribeStackDetail 查看资源栈详情
    ros:DescribeStackResources 查看资源列表
    ros:DescribeStackResourceDetail 查看资源详情
    ros:DescribeStackEvents 查看事件列表
    ros:DescribeStackTemplate 查看模板内容
    ros:SetDeletionProtection 启用或禁用删除保护
  • ROS资源描述符
    RAM的策略定义中,可以通过下面的方式描述ROS资源栈。其中的变量可以用星号(*)来表示所有。如授权查看某一地域内的资源栈列表和详情的描述结构为:
    acs:ros:{region_id}:{owner_id}:stack/{stack_name}/{stack_id}                       
    示例:
    acs:ros:cn-beijing:*:stack/myStack/94dd5431-2df6-4415-81ca-732a7082****                  
  • ROS权限策略示例
    • 以下策略授予查看cn-beijing地域的所有资源栈列表和资源栈详情的权限。其中,星号(*)是一个通配符,它表示账号下cn-beijing地域的所有资源栈。
      {
        "Statement": [
          {
            "Action": [
              "ros:DescribeStacks",
              "ros:DescribeStackDetail"
            ],
            "Effect": "Allow",
            "Resource": "acs:ros:cn-beijing:*:stack/*"
          }
        ],
        "Version": "1"
      }                                    
    • 以下策略可以授予用户在所有地域创建和查看资源栈的权限。
      {
        "Statement": [
          {
            "Action": [
              "ros:CreateStack",
              "ros:DescribeStacks",
              "ros:DescribeStackDetail",
              "ros:ValidateTemplate"
            ],
            "Effect": "Allow",
            "Resource": "*"
          }
        ],
        "Version": "1"
      }                                   
    • 以下策略授予ID为12345****的用户可以对名称为myStack,ID为94dd5431-2df6-4415-81ca-732a7082****的资源栈进行更新操作。
      {
        "Statement": [
          {
            "Action": [
              "ros:UpdateStack"
            ],
            "Effect": "Allow",
            "Resource": "acs:ros:cn-beijing:12345****:stack/myStack/94dd5431-2df6-4415-81ca-732a7082****"
          }
        ],
        "Version": "1"
      }                                    
    • 当ROS进行临时授权访问时,ROS支持带acs:SourceIp和SSL信息限制的授权。
      授权策略需满足以下两个条件:
      • RAM用户当前的IP网段为42.120.99.0/24。
      • RAM用户正在使用HTTPS访问阿里云控制台或OpenAPI。
      当ROS通过阿里云STS(Security Token Service)进行临时授权访问时:
      • 以下授权策略可以访问ROS所有功能和资源,但不能访问其他服务。因为STS场景下无法透传acs:SourceIp和acs:SecureTransport。
        {
          "Statement": [
            {
              "Effect": "Allow",
              "Action": "ros:*",
              "Resource": "*",
              "Condition": {
                "IpAddress": {
                  "acs:SourceIp": "42.120.99.0/24"
                },
                "Bool": {
                  "acs:SecureTransport": "true"
                }
              }
            }
          ],
          "Version": "1"
        }
      • 以下授权策略可以访问ROS所有功能和资源,但不能访问包括ECS在内的其他服务。
        {
          "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "ros:*",
                "ecs:*"
              ],
              "Resource": "*",
              "Condition": {
                "IpAddress": {
                  "acs:SourceIp": "42.120.99.0/24"
                },
                "Bool": {
                  "acs:SecureTransport": "true"
                }
              }
            }
          ],
          "Version": "1"
        }
      当ROS不通过阿里云STS(Security Token Service)进行临时授权访问时:
      • 以下授权策略可以访问ROS所有功能和资源,但不能访问其他服务。
        {
          "Statement": [
            {
              "Effect": "Allow",
              "Action": "ros:*",
              "Resource": "*",
              "Condition": {
                "IpAddress": {
                  "acs:SourceIp": "42.120.99.0/24"
                },
                "Bool": {
                  "acs:SecureTransport": "true"
                }
              }
            }
          ],
          "Version": "1"
        }
      • 以下授权策略可以访问ROS、ECS所有功能和资源,但不能访问其他云服务。
        {
          "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "ros:*",
                "ecs:*"
              ],
              "Resource": "*",
              "Condition": {
                "IpAddress": {
                  "acs:SourceIp": "42.120.99.0/24"
                },
                "Bool": {
                  "acs:SecureTransport": "true"
                }
              }
            }
          ],
          "Version": "1"
        }
      说明