借助 RAM 用戶實現分權

企業 A 的某個項目（Project-X）上云，購買了多種阿里云產品，例如：ECS 實例、RDS 實例、SLB 實例、OSS 存儲空間等。項目里有多個員工需要操作這些云資源，由于每個員工的工作職責不同，需要的權限也不一樣。企業 A 希望能夠達到以下要求：

• 出于安全或信任的考慮，A 不希望將云賬號密鑰直接透露給員工，而希望能給員工創建獨立賬號。

• 用戶賬號只能在授權的前提下操作資源。A 隨時可以撤銷用戶賬號身上的權限，也可以隨時刪除其創建的用戶賬號。

• 不需要對用戶賬號進行獨立的計量計費，所有開銷都由 A 來承擔。

• 針對以上需求，可以借助 RAM 的授權管理功能實現用戶分權及資源統一管理。

借助 RAM 角色實現跨賬號訪問資源

云賬號 A 和云賬號 B 分別代表不同的企業。A 購買了多種云資源來開展業務，例如：ECS 實例、RDS 實例、SLB 實例、OSS 存儲空間等。

• 企業 A 希望能專注于業務系統，而將云資源運維、監控、管理等任務授權給企業 B。

• 企業 B 還可以進一步將 A 的資源訪問權限分配給 B 的某一個或多個員工，B 可以精細控制其員工對資源的操作權限。

• 如果 A 和 B 的這種運維合同關系終止，A 隨時可以撤銷對 B 的授權。

• 針對以上需求，可以借助 RAM 角色實現跨賬號授權及資源訪問的控制。

借助 RAM 服務角色實現動態訪問云服務

如果您購買了 ECS 實例，并且打算在 ECS 中部署企業的應用程序，而這些應用程序需要使用 Access Key 訪問其他云服務 API，那么有兩種做法：

• 將 Access Key 直接嵌入代碼。

• 將 Access Key 保存在應用程序的配置文件中。

然而，這兩種做法會帶來兩個問題：

• 保密性問題：如果 Access Key 以明文形式存在于 ECS 實例中，則可能隨著快照、鏡像及鏡像創建出來的實例被泄露。

• 運維難問題：由于 Access Key 存在于實例中，如果要更換 Access Key（例如周期性輪轉或切換用戶身份），那么需要對每個實例和鏡像進行更新并重新部署，這會增加實例和鏡像管理的復雜性。

ECS 服務結合 RAM 提供的訪問控制能力，允許給每一個 ECS 實例（即用戶應用程序的運行環境）配置一個擁有合適權限的 RAM 角色身份，應用程序通過獲取該角色身份的動態令牌來訪問云服務 API。

智能顧問的權限策略

Advisor 支持的系統權限策略為：

• AliyunAdvisorFullAccess：管理智能顧問（Advisor）的權限，包含編輯/設置操作權限。

• AliyunAdvisorReadOnlyAccess：只讀訪問智能顧問（Advisor）的權限。

更多信息

• [RAM主子賬號授權]

• 什么是RAM