对云上应用进行动态身份管理与授权

解决方案

ECS结合RAM提供的访问控制能力，允许给每一个ECS实例配置一个拥有合适权限的RAM角色身份。应用程序通过获取该RAM角色的临时安全令牌来访问云API。

操作流程

1. 使用阿里云账号创建一个RAM角色（MyApplicationRole）。
   说明 创建RAM角色时受信实体选择阿里云服务，受信服务选择云服务器，即允许ECS扮演该RAM角色来访问阿里云资源。

   具体操作，请参见创建可信实体为阿里云服务的RAM角色。

2. 为RAM角色授权。

   具体操作，请参见为RAM角色授权。

   说明 如果临时安全令牌权限不足时，您可以根据需要为RAM角色添加相应的权限。权限更新后立即生效，无需重新启动ECS实例。
3. 使用阿里云账号创建一个RAM用户。

   具体操作，请参见创建RAM用户。

4. 为RAM用户授权。
   • 若管理员和操作员是同一人，需要授权RAM用户管理员权限：AdministratorAccess。
   • 若管理员与操作员职责分离，需要创建以下自定义策略，将其授权给RAM用户。

     {
        "Statement": [
         {
           "Effect": "Allow",
           "Action": "ram:PassRole",
           "Resource": "acs:ram:*:*:role/MyApplicationRole" //替换MyApplicationRole为自己的RAM角色名称
         }
       ],
       "Version": "1"
     }                

     说明

     • 只有被授权的RAM用户才能为ECS实例配置RAM角色，避免RAM角色权限被滥用。
     • 如果RAM用户没有管理员权限，仅有管理ECS的权限。在创建ECS实例并配置RAM角色时，ECS会强制检查当前RAM用户是否拥有指定RAM角色的ram:PassRole 权限，否则将无法成功创建ECS实例。

   具体操作，请参见为RAM用户授权。

5. 启动ECS实例时，配置创建好的RAM角色。
6. ECS调用STS API AssumeRole去获取该RAM角色的临时安全令牌。
   说明 STS会验证ECS身份及RAM角色的授权类型，验证通过后颁发临时安全令牌。

   具体操作，请参见通过API使用实例RAM角色。

7. STS将临时安全令牌返回给ECS。
8. ECS将通过实例元数据将临时安全令牌传递给ECS实例中的应用程序。
   • 若在Linux系统中，通过实例元数据可以获取临时安全令牌及过期时间等信息。请参见使用实例RAM角色访问其他云产品。

     请求示例

     curl http://100.100.100.200/latest/meta-data/ram/security-credentials/MyApplicationRole

     返回示例

     {
         "AccessKeyId": "STS.J8XXXXXXXXXX4",
         "AccessKeySecret": "9PjfXXXXXXXXXBf2XAW",
         "Expiration": "2017-06-09T09:17:19Z",
         "SecurityToken": "CAIXXXXXXXXXXXwmBkleCTkyI+",
         "LastUpdated": "2017-06-09T03:17:18Z",
         "Code": "Success"
     }

   • 若应用程序使用了阿里云SDK，无需在SDK中配置任何访问密钥相关的信息，阿里云SDK将会自动从ECS实例元数据中获取临时安全令牌。请参见配置RamRole实现ECS实例的无AK访问。
     说明 临时安全令牌过期时间通常为1小时，有效期内应用程序都能正常访问阿里云API，过期之前ECS会自动刷新临时安全令牌。
9. 应用程序使用临时安全令牌访问阿里云API。