SOFAStack 支持云賬戶(主賬號)給 RAM 用戶(子賬號)授予資源的權限,避免因暴露阿里云賬號(主賬號)密鑰造成的安全風險。僅限有權限的 RAM 用戶在 SOFAStack 控制臺以及通過 SDK/API 進行各類資源操作。
應用場景
企業 A 購買了 SOFAStack 中的容器應用服務,企業 A 的員工需要操作容器應用服務所涉及的資源,例如節點、應用服務實例或存儲資源,有的負責創建應用,有的負責管理節點,還有的負責管理存儲。由于每個員工的工作職責不一樣,需要的權限也不一樣。
具體場景說明如下:
出于安全或信任的考慮,企業 A 不希望將云賬號密鑰直接透露給員工,而希望能給員工創建相應的用戶賬號。
用戶賬號只能在授權的前提下操作資源,不需要對用戶賬號單獨計量計費,所有開銷都計入企業 A 云賬號名下。
企業 A 隨時可以撤銷用戶賬號的權限,也可以隨時刪除其創建的用戶賬號。
此種場景下,A 的云賬號可以將需要員工進行操作的資源進行細粒度的權限分隔。
說明目前,SOFAStack 暫未細化資源粒度的權限策略,各資源維度的策略定義將在后續開放。詳情參見 權限策略。
操作步驟
企業 A 云賬號創建 RAM 用戶。
具體步驟參見 創建 RAM 用戶。
企業 A 云賬號為 RAM 用戶授權。
具體步驟參見 為 RAM 用戶授權。
后續步驟
使用阿里云賬號(主賬號)創建好 RAM 用戶后,即可將 RAM 用戶的登錄名稱及密碼或者 AccessKey 信息分發給其他用戶。其他用戶可以按照以下步驟使用 RAM 用戶登錄控制臺或調用 API。
登錄控制臺。
在瀏覽器中打開 RAM 用戶登錄入口 。
在 RAM 用戶登錄 頁面上,輸入 RAM 用戶登錄名稱,單擊 下一步,并輸入 RAM 用戶密碼,然后單擊 登錄。
說明RAM 用戶登錄名稱的格式為 <$username>@<$AccountAlias> 或 <$username>@<$AccountAlias>.onaliyun.com。 <$AccountAlias> 為賬號別名,如果沒有設置賬號別名,則默認值為阿里云賬號(主賬號)的 ID。
在子用戶用戶中心頁面上單擊有權限的產品,即可訪問控制臺。
使用 RAM 用戶的 AccessKey 調用 API。
在代碼中使用 RAM 用戶的 AccessKeyId 和 AccessKeySecret 即可。