全部产品
云市场

子账号支持

更新时间:2019-04-02 15:05:18

概述

RAM (Resource Access Management) 是阿里云为客户提供的集中式访问控制服务,其核心功能主要包括用户身份与授权管理,应用场景可以覆盖企业子账号与分权管理、针对移动 APP 的临时授权管理,和不同组织之间的资源互操作与授权管理。更多关于 RAM 的介绍可前往 RAM 访问控制 查看。

云服务总线已全面对接 RAM 系统。

子账号使用指南

  1. 主账号在 RAM 控制台创建自定义策略:CsbRamAllPolicy

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": "csb:*",
    6. "Resource": "acs:csb:*:*:*",
    7. "Effect": "Allow"
    8. }
    9. ]
    10. }

    该策略将授予子账号 CSB 的所有权限,如需复杂的权限控制,可根据资源规则和权限规则,自定义安全策略。

  2. 将 CsbRamAllPolicy 策略授予需要权限的子账号。

策略示例

  • 策略:单个实例授权

  • 策略名 :CsbInstance231

  • 策略内容:

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": "csb:AOSPSYS_LIST_CSB",
    6. "Resource": "acs:csb:*:*:AOSPSYS/*",
    7. "Effect": "Allow"
    8. },
    9. {
    10. "Action": "csb:*",
    11. "Resource": "acs:csb:*:*:INSTANCE/231",
    12. "Effect": "Allow"
    13. }
    14. ]
    15. }

RAM 相关术语

为了方便您更好地使用CSB的访问控制功能,本文提供了以下几个关键术语的介绍。更多关于 RAM 的术语解释,请参考RAM 相关术语

云账户(主账号)

云账户是阿里云资源归属、资源使用计量计费的基本主体。当用户开始使用阿里云服务时,首先需要注册一个云账户。云账户为其名下所拥有的资源付费,并对其名下所有资源拥有完全权限。 默认情况下,资源只能被属主(ResourceOwner)所访问,任何其他用户访问都需要获得属主的显式授权。所以从权限管理的角度来看,云账户就是操作系统的 root 或 Administrator,所以我们有时称它为 根账户 或 主账户(主账号)。

RAM 用户 (子账号)

RAM 允许在一个云账户下创建多个 RAM 用户(可以对应企业内的员工、系统或应用程序)。RAM 用户不拥有资源,没有独立的计量计费,这些用户由所属云账户统一控制和付费。RAM 用户是归属于云账户,只能在所属云账户的空间下可见,而不是独立的云账户。RAM 用户必须在获得云账户的授权后才能登录控制台或使用 API 操作云账户下的资源。

资源(Resource)

资源是云服务呈现给用户与之交互的对象实体的一种抽象。CSB提供了几个类别的资源,每个资源有一个全局的阿里云资源名称(Aliyun Resource Name, ARN)。格式如下:acs:<service-name>:<region>:<account-id>:<resource-relative-id>各组成部分代表的含义如下:

  • acs: Alibaba Cloud Service 的首字母缩写,表示阿里云的公有云平台;
  • service-name: 服务名称,CSB的服务名称为 csb;
  • region: 区域信息,填 “*” 号;
  • account-id: 阿里云账号 ID,例如 1234567890123456;
  • resource-relative-id: csb 资源,${resource-type}/${resource-id}。

示例: 名称为 acs:csb:*:*:INSTANCE/10 的资源表示的含义是:

  • ID为10的CSB实例资源;

操作(Action)

action规则: csb:${action-name}

示例:名称为csb:SERVICEGROUP_CREATE表示:”创建服务组”的操作

参考

资源

资源名 资源规则
系统 acs:csb:$regionid:$accountid:AOSPSYS/*
实例 acs:csb:$regionid:$accountid:INSTANCE/$resourceId
凭证 acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
服务组 acs:csb:$regionid:$accountid:SERVICEGROUP/$resourceId
服务 acs:csb:$regionid:$accountid:SERVICE/$resourceId

鉴权规则

操作 鉴权规则
AOSPSYS_LIST_CSB acs:csb:$regionid:$accountid:AOSPSYS/*
INSTANCE_APPLY_USE acs:csb:$regionid:$accountid:AOSPSYS/*
INSTANCE_APPROVE_APPLY_USE acs:csb:$regionid:$accountid:INSTANCE/$resourceId
INSTANCE_UPDATE_BASIC_INFO acs:csb:$regionid:$accountid:INSTANCE/$resourceId
INSTANCE_VIEW_PERSONNAL_SERVICE_STATISTICS acs:csb:$regionid:$accountid:INSTANCE/$resourceId
INSTANCE_VIEW_SERVICE_SUMMARY acs:csb:$regionid:$accountid:INSTANCE/$resourceId
CREDENTIALGROUP_CREATE acs:csb:$regionid:$accountid:INSTANCE/$resourceId
CREDENTIALGROUP_DELETE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
CREDENTIALGROUP_UPDATE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
SERVICEGROUP_CREATE acs:csb:$regionid:$accountid:INSTANCE/$resourceId
SERVICEGROUP_DELETE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
SERVICEGROUP_STARTSTOP acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
SERVICEGROUP_UPDATE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
SERVICE_DELETE acs:csb:$regionid:$accountid:SERVICE/$resourceId
SERVICE_MANAGE_ORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId
SERVICE_ORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId
SERVICE_PUBLISH acs:csb:$regionid:$accountid:SERVICEGROUP/$resourceId
SERVICE_UNORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId
SERVICE_UPDATE acs:csb:$regionid:$accountid:SERVICE/$resourceId
SERVICE_VIEW_BASIC_INFO acs:csb:$regionid:$accountid:SERVICE/$resourceId
SERVICE_VIEW_FULL_INFO acs:csb:$regionid:$accountid:SERVICE/$resourceId
SERVICE_VIEW_ORDER_CALL_STATISTICS acs:csb:$regionid:$accountid:SERVICE/$resourceId
SERVICE_VIEW_SUMMARY_STATISTICS acs:csb:$regionid:$accountid:SERVICE/$resourceId