什么是訪問控制
訪問控制RAM(Resource Access Management)是阿里云提供的管理用戶身份與資源訪問權(quán)限的服務(wù)。
前置概念
閱讀本文前,您可能需要了解如下概念:
功能特性
統(tǒng)一管理訪問身份及權(quán)限
集中式訪問控制
集中管理RAM用戶:管理每個(gè)RAM用戶及其登錄密碼或訪問密鑰,為RAM用戶綁定多因素認(rèn)證MFA(Multi Factor Authentication)設(shè)備。
集中控制RAM用戶的訪問權(quán)限:控制每個(gè)RAM用戶訪問資源的權(quán)限。
集中控制RAM用戶的資源訪問方式:確保RAM用戶在指定的時(shí)間和網(wǎng)絡(luò)環(huán)境下,通過安全信道訪問特定的阿里云資源。
外部身份集成
單點(diǎn)登錄SSO(Single Sign On):支持阿里云與企業(yè)身份提供商IdP(Identity Provider)進(jìn)行用戶SSO或角色SSO,使用企業(yè)IdP中的賬號(hào)登錄阿里云。
釘釘賬號(hào)集成:為RAM用戶綁定一個(gè)釘釘賬號(hào),然后就可以使用該釘釘賬號(hào)登錄阿里云。
SCIM用戶同步:通過SCIM協(xié)議將企業(yè)內(nèi)部賬號(hào)同步到RAM。更多信息,請(qǐng)參見通過SCIM協(xié)議將企業(yè)內(nèi)部賬號(hào)同步到阿里云RAM。
精細(xì)多元的權(quán)限設(shè)置能力
豐富的權(quán)限策略
RAM提供了多種滿足日常運(yùn)維人員職責(zé)所需要的系統(tǒng)權(quán)限策略。如果系統(tǒng)權(quán)限策略不能滿足您的需求,您還可以通過圖形化工具快速地創(chuàng)建自定義權(quán)限策略。
精細(xì)的控制粒度
支持在資源級(jí)和操作級(jí)向RAM用戶、RAM用戶組和RAM角色授予訪問權(quán)限。
支持根據(jù)請(qǐng)求源IP地址、日期時(shí)間、資源標(biāo)簽等條件屬性創(chuàng)建更精細(xì)的資源訪問控制策略。
支持指定授權(quán)范圍為整個(gè)阿里云賬號(hào)或指定資源組。
云SSO實(shí)現(xiàn)多賬號(hào)統(tǒng)一身份權(quán)限管理
云SSO提供基于阿里云資源目錄RD(Resource Directory)的多賬號(hào)統(tǒng)一身份管理與訪問控制。您可以在云SSO中進(jìn)行一次性統(tǒng)一配置,即可完成面向多個(gè)阿里云賬號(hào)的身份管理、單點(diǎn)登錄和權(quán)限配置。為了實(shí)現(xiàn)這一目標(biāo),云SSO提供了獨(dú)立于RAM的身份目錄,但其權(quán)限管理復(fù)用了RAM中的系統(tǒng)策略和自定義策略語法。此外,云SSO用戶對(duì)RD賬號(hào)的訪問,本質(zhì)上是云SSO用戶扮演每個(gè)RD賬號(hào)中的RAM角色進(jìn)行的再一次單點(diǎn)登錄。
免費(fèi)使用
RAM為免費(fèi)產(chǎn)品,經(jīng)過實(shí)名認(rèn)證的阿里云賬號(hào)可以直接使用,不收取任何費(fèi)用。
產(chǎn)品優(yōu)勢(shì)
使用RAM,您可以創(chuàng)建、管理RAM用戶(例如員工、系統(tǒng)或應(yīng)用程序),并可以控制這些RAM用戶對(duì)資源的操作權(quán)限。當(dāng)您的企業(yè)存在多用戶協(xié)同操作資源的場(chǎng)景時(shí),RAM可以讓您避免與其他用戶共享阿里云賬號(hào)密鑰,按需為用戶分配最小權(quán)限,從而降低企業(yè)的信息安全風(fēng)險(xiǎn)。
應(yīng)用場(chǎng)景
應(yīng)用場(chǎng)景 | 描述 |
企業(yè)A的某個(gè)項(xiàng)目(Project-X)上云,購買了多種阿里云資源,例如:ECS實(shí)例、RDS實(shí)例、SLB實(shí)例和OSS存儲(chǔ)空間等。項(xiàng)目里有多個(gè)員工需要操作這些云資源,由于每個(gè)員工的工作職責(zé)不同,所需權(quán)限也不同。 企業(yè)A希望能夠達(dá)到以下要求:
| |
企業(yè)A開發(fā)了一款移動(dòng)應(yīng)用(App),并購買了對(duì)象存儲(chǔ)(OSS)服務(wù)。App需要直連OSS上傳或下載數(shù)據(jù),但是App運(yùn)行在用戶自己的移動(dòng)設(shè)備上,這些設(shè)備不受企業(yè)A的控制。 企業(yè)A有如下要求:
| |
企業(yè)A購買了多種阿里云資源來開展業(yè)務(wù),例如:ECS實(shí)例、RDS實(shí)例、SLB實(shí)例和OSS存儲(chǔ)空間等。企業(yè)A希望將部分業(yè)務(wù)授權(quán)給企業(yè)B。 企業(yè)A有如下要求:
| |
企業(yè)A購買了ECS實(shí)例,并計(jì)劃在ECS中部署企業(yè)的應(yīng)用程序。這些應(yīng)用程序需要使用訪問密鑰(AccessKey)訪問其它云服務(wù)API。 | |
游戲公司A正在開發(fā)3個(gè)游戲項(xiàng)目,每個(gè)游戲項(xiàng)目都會(huì)用到多種云資源。公司A只有1個(gè)阿里云賬號(hào),該阿里云賬號(hào)下有超過100個(gè)ECS實(shí)例。 公司A有如下要求:
|
使用方式
注冊(cè)阿里云賬號(hào)后,您可以通過以下方式使用RAM管理用戶身份與資源訪問權(quán)限:
RAM控制臺(tái)
具有交互式操作的Web服務(wù)頁面。您可登錄RAM控制臺(tái)完成相關(guān)操作。
阿里云SDK
OpenAPI開發(fā)者門戶
提供快速檢索接口、在線調(diào)用API和動(dòng)態(tài)生成SDK示例代碼等服務(wù)。更多信息,請(qǐng)參見OpenAPI開發(fā)者門戶。
阿里云CLI
通過命令行的方式調(diào)用API。更多信息,請(qǐng)參見什么是阿里云CLI。