概念

說明

訪問控制

訪問控制（RAM）是阿里云提供的管理用戶身份與資源訪問權(quán)限的服務(wù)。

阿里云賬號（主賬號）

開始使用阿里云服務(wù)前，首先需要注冊一個阿里云賬號。阿里云賬號是阿里云資源歸屬、資源使用計量計費(fèi)的基本主體。阿里云賬號為其名下所擁有的資源付費(fèi)，并對其名下所有資源擁有完全控制權(quán)限。

默認(rèn)情況下，資源只能被阿里云賬號所訪問，任何其他用戶訪問都需要獲得阿里云賬號的顯式授權(quán)。阿里云賬號就是操作系統(tǒng)的root或Administrator，所以我們有時稱它為根賬號或主賬號。

身份

訪問控制（RAM）中有三種身份：RAM用戶、用戶組和RAM角色。其中RAM用戶和用戶組是RAM的一種實(shí)體身份類型，RAM角色是一種虛擬用戶身份。

RAM用戶（子賬號）

RAM用戶是RAM的一種實(shí)體身份類型，有確定的身份ID和身份憑證，它通常與某個確定的人或應(yīng)用程序一一對應(yīng)。

• 一個阿里云賬號下可以創(chuàng)建多個RAM用戶，對應(yīng)企業(yè)內(nèi)的員工、系統(tǒng)或應(yīng)用程序。

• RAM用戶不擁有資源，不能獨(dú)立計量計費(fèi)，由所屬阿里云賬號統(tǒng)一控制和付費(fèi)。

• RAM用戶歸屬于阿里云賬號，只能在所屬阿里云賬號的空間下可見，而不是獨(dú)立的阿里云賬號。

• RAM用戶必須在獲得阿里云賬號的授權(quán)后才能登錄控制臺或使用API操作阿里云賬號下的資源。

用戶組

用戶組是RAM的一種實(shí)體身份類型，用戶組可以對職責(zé)相同的RAM用戶進(jìn)行分類并授權(quán)，從而更好的管理用戶及其權(quán)限。

• 在RAM用戶職責(zé)發(fā)生變化時，只需將其移動到相應(yīng)職責(zé)的用戶組下，不會對其他RAM用戶產(chǎn)生影響。

• 當(dāng)用戶組的權(quán)限發(fā)生變化時，只需修改用戶組的權(quán)限策略，即可應(yīng)用到所有RAM用戶。

RAM角色

RAM角色是一種虛擬用戶，與實(shí)體用戶（阿里云賬號、RAM用戶和云服務(wù)）和教科書式角色（Textbook role）不同。

• 實(shí)體用戶：擁有確定的登錄密碼或訪問密鑰。

• 教科書式角色：教科書式角色或傳統(tǒng)意義上的角色是指一組權(quán)限集合，類似于RAM里的權(quán)限策略。如果一個用戶被賦予了這種角色，也就意味著該用戶被賦予了一組權(quán)限，可以訪問被授權(quán)的資源。

• RAM角色：RAM角色有確定的身份，可以被賦予一組權(quán)限策略，但沒有確定的登錄密碼或訪問密鑰。RAM角色需要被一個受信的實(shí)體用戶扮演，扮演成功后實(shí)體用戶將獲得RAM角色的安全令牌，使用這個安全令牌就能以角色身份訪問被授權(quán)的資源。

根據(jù)RAM可信實(shí)體的不同，RAM支持以下三種類型的角色：

• 阿里云賬號：允許RAM用戶所扮演的角色。扮演角色的RAM用戶可以屬于自己的阿里云賬號，也可以屬于其他阿里云賬號。此類角色主要用來解決跨賬號訪問和臨時授權(quán)問題。

• 阿里云服務(wù)：允許云服務(wù)所扮演的角色。此類角色主要用于授權(quán)云服務(wù)代理您進(jìn)行資源操作。

• 身份提供商：允許受信身份提供商下的用戶所扮演的角色。此類角色主要用于實(shí)現(xiàn)與阿里云的單點(diǎn)登錄（SSO）。

默認(rèn)域名

阿里云為每個阿里云賬號分配了一個默認(rèn)域名，格式為：<AccountAlias>.onaliyun.com。默認(rèn)域名可作為RAM用戶登錄或單點(diǎn)登錄（SSO）等場景下該阿里云賬號的唯一標(biāo)識符。

賬號別名（企業(yè)別名）

當(dāng)RAM用戶登錄時，登錄名稱的后綴表示可以使用賬號別名、默認(rèn)域名或域別名中的任何一種。

每個阿里云賬號可以在RAM中設(shè)置一個全局唯一的賬號別名。賬號別名主要用于RAM用戶登錄，登錄成功后可作為顯示名。

例如：企業(yè)可以為其阿里云賬號設(shè)置賬號別名為：company1，該阿里云賬號下的RAM用戶alice可以使用alice@company1進(jìn)行登錄，登錄成功后，用戶的顯示名為：alice@company1。

域別名

如果您持有公網(wǎng)上可以解析的域名，那么您可以使用該域名替代您的默認(rèn)域名，該域名稱為域別名。域別名就是指默認(rèn)域名的別名。

登錄密碼

登錄密碼是登錄阿里云的身份憑證，用于證明用戶真實(shí)身份的憑證。

訪問密鑰

訪問密鑰指的是訪問身份驗(yàn)證中用到的AccessKey ID和AccessKey Secret。您可以使用訪問密鑰（或阿里云服務(wù)SDK）創(chuàng)建一個API請求，RAM通過使用AccessKey ID和AccessKey Secret對稱加密的方法來驗(yàn)證某個請求的發(fā)送者身份，身份驗(yàn)證成功后將可以操作相應(yīng)資源。

AccessKey ID和AccessKey Secret一起使用，AccessKey ID用于標(biāo)識用戶，AccessKey Secret用于驗(yàn)證用戶的密鑰。

多因素認(rèn)證

多因素認(rèn)證（MFA）是一種簡單有效的最佳安全實(shí)踐，在用戶名和密碼之外再增加一層安全保護(hù)。這些要素結(jié)合起來將為您的賬號提供更高的安全保護(hù)。啟用多因素認(rèn)證后，再次登錄阿里云時，系統(tǒng)將要求輸入兩層安全要素：

1. 第一層安全要素：用戶名和密碼。

2. 第二層安全要素：多因素認(rèn)證設(shè)備生成的驗(yàn)證碼。

服務(wù)提供商

服務(wù)提供商（SP）是指利用IdP的身份管理功能，為用戶提供具體服務(wù)的應(yīng)用。SP會使用IdP提供的用戶信息。一些非SAML協(xié)議的身份系統(tǒng)（例如：OpenID Connect），也把服務(wù)提供商稱作IdP的信賴方。

身份提供商

身份提供商（IdP）是一個包含有關(guān)外部身份提供商元數(shù)據(jù)的RAM實(shí)體，它可以提供身份管理服務(wù)。

• 企業(yè)本地IdP：Microsoft Active Directory Federation Service （AD FS）以及Shibboleth等。

• Cloud IdP：Azure AD、Google G Suite、Okta以及OneLogin等。

安全斷言標(biāo)記語言

安全斷言標(biāo)記語言（SAML 2.0）是實(shí)現(xiàn)企業(yè)級用戶身份認(rèn)證的標(biāo)準(zhǔn)協(xié)議，它是SP和IdP之間實(shí)現(xiàn)溝通的技術(shù)實(shí)現(xiàn)方式之一。SAML 2.0已經(jīng)是目前實(shí)現(xiàn)企業(yè)級SSO的一種事實(shí)標(biāo)準(zhǔn)。

單點(diǎn)登錄

阿里云支持基于SAML 2.0的單點(diǎn)登錄SSO（Single Sign On），也稱為身份聯(lián)合登錄。

企業(yè)根據(jù)自身需要，使用支持SAML 2.0的企業(yè)IdP（例如：AD FS）與阿里云進(jìn)行SSO。阿里云提供以下兩種基于SAML 2.0協(xié)議的SSO方式：

• 用戶SSO：阿里云通過IdP頒發(fā)的SAML斷言確定企業(yè)用戶與阿里云RAM用戶的對應(yīng)關(guān)系 。企業(yè)用戶登錄后，使用該RAM用戶訪問阿里云。

• 角色SSO：阿里云通過IdP頒發(fā)的SAML斷言確定企業(yè)用戶在阿里云上可以使用的RAM角色。企業(yè)用戶登錄后，使用SAML斷言中指定的RAM角色訪問阿里云。

元數(shù)據(jù)文檔

元數(shù)據(jù)文檔由企業(yè)IdP提供，一般為XML格式，包含IdP的登錄服務(wù)地址、用于驗(yàn)證簽名的公鑰及斷言格式等信息。

SAML斷言

SAML協(xié)議中用于描述認(rèn)證請求和認(rèn)證響應(yīng)的核心元素。例如：用戶的具體屬性就包含在認(rèn)證響應(yīng)的斷言里。

信賴

建立在SP和IdP之間的互信機(jī)制，通常由公鑰和私鑰來實(shí)現(xiàn)。SP通過可信的方式獲取IdP的SAML元數(shù)據(jù)，元數(shù)據(jù)中包含IdP簽發(fā)SAML斷言的簽名驗(yàn)證公鑰，SP則使用公鑰來驗(yàn)證斷言的完整性。

阿里云OAuth 2.0服務(wù)

對用戶進(jìn)行認(rèn)證，接受用戶對應(yīng)用的授權(quán)，生成代表用戶身份的令牌并返回給被授權(quán)的應(yīng)用。

OAuth應(yīng)用

獲取用戶授權(quán)，并獲取代表用戶身份的令牌，從而可以訪問阿里云。

OAuth 2.0服務(wù)目前支持的應(yīng)用類型包括：

• WebApp：指基于瀏覽器交互的網(wǎng)絡(luò)應(yīng)用。

• NativeApp：指操作系統(tǒng)中運(yùn)行的本地應(yīng)用，主要為運(yùn)行在桌面操作系統(tǒng)或移動操作系統(tǒng)中的應(yīng)用。

• ServerApp：指直接訪問阿里云服務(wù)，而無需依賴用戶登錄的應(yīng)用，目前僅支持基于SCIM協(xié)議的用戶同步應(yīng)用。

OAuth范圍

OAuth 2.0服務(wù)通過OAuth范圍來限定應(yīng)用扮演用戶登錄阿里云后可以訪問的范圍。

權(quán)限策略

權(quán)限策略是用語法結(jié)構(gòu)描述的一組權(quán)限的集合，可以精確地描述被授權(quán)的資源集、操作集以及授權(quán)條件。權(quán)限策略是描述權(quán)限集的一種簡單語言規(guī)范。

在RAM中，權(quán)限策略是一種資源實(shí)體。RAM支持以下兩種權(quán)限策略：

• 阿里云管理的系統(tǒng)策略：統(tǒng)一由阿里云創(chuàng)建，用戶只能使用不能修改，策略的版本更新由阿里云維護(hù)。

• 客戶管理的自定義策略：用戶可以自主創(chuàng)建、更新和刪除，策略的版本更新由客戶自己維護(hù)。

通過為RAM用戶、用戶組或RAM角色綁定權(quán)限策略，可以獲得權(quán)限策略中指定的訪問權(quán)限。

權(quán)限

權(quán)限是指是否允許用戶對某種資源執(zhí)行某種操作，權(quán)限分為：允許（Allow）或拒絕（Deny）。

操作分為兩大類：

• 資源管控操作：指云資源的生命周期管理及運(yùn)維管理操作，所面向的用戶一般是資源購買者或組織內(nèi)的運(yùn)維員工。例如：ECS實(shí)例的創(chuàng)建、停止或重啟，OSS存儲空間的創(chuàng)建、修改或刪除等。

• 資源使用操作：指使用資源的核心功能，所面向的用戶一般是組織內(nèi)的研發(fā)員工或應(yīng)用系統(tǒng)。例如：ECS實(shí)例操作系統(tǒng)中的用戶操作，OSS存儲空間的數(shù)據(jù)上傳或下載。

  說明

  • 對于彈性計算和數(shù)據(jù)庫等產(chǎn)品，資源管控操作可以通過RAM來管理，而資源使用操作是在每個產(chǎn)品的實(shí)例內(nèi)進(jìn)行管理。例如：ECS實(shí)例操作系統(tǒng)的權(quán)限控制或MySQL數(shù)據(jù)庫提供的權(quán)限控制。

  • 對于存儲類等產(chǎn)品，例如：OSS或Table Store等，資源管控操作和資源使用操作都可以通過RAM來實(shí)現(xiàn)。

資源

資源（Resource）是云服務(wù)呈現(xiàn)給用戶與之交互的對象實(shí)體的一種抽象，例如：OSS存儲空間或ECS實(shí)例等。

限制條件

限制條件（Condition）是權(quán)限策略基本元素之一，表示授權(quán)生效的限制條件。

操作

操作（Action）是權(quán)限策略基本元素之一，表示對具體資源的操作。取值為：云服務(wù)所定義的API操作名稱。

效力

效力（Effect）是權(quán)限策略基本元素之一，表示授權(quán)效力。取值為：允許（Allow）或拒絕（Deny）。

被授權(quán)主體

被授權(quán)主體（Principal）是指策略中定義的權(quán)限主體，被授權(quán)主體可以為RAM用戶、用戶組或RAM角色。

資源目錄

資源目錄RD（Resource Directory）是阿里云面向企業(yè)客戶提供的一套多級賬號和資源關(guān)系管理服務(wù)。

標(biāo)簽

標(biāo)簽是云資源的標(biāo)識，可以幫助您從不同維度對具有相同特征的云資源進(jìn)行分類、搜索和聚合，讓資源管理變得更加輕松。

系統(tǒng)標(biāo)簽

由系統(tǒng)自動定義的標(biāo)簽，只能查看，不能編輯。

自定義標(biāo)簽

由用戶自定義的標(biāo)簽。

標(biāo)簽鍵值對（Key-Value）

標(biāo)簽由一個鍵值對（Key-Value）組成，包含標(biāo)簽鍵（Key）、標(biāo)簽值（Value）。

資源共享

資源共享（Resource Sharing）是指多賬號間通過共享的方式將一個賬號下的指定資源共享給一個或多個目標(biāo)賬號使用。

資源所有者

資源所有者是資源共享的發(fā)起方，也是共享資源的擁有者，通常為資源目錄的企業(yè)管理賬號或成員賬號。

共享的資源

共享的資源通常為某個云服務(wù)的某類資源。例如：專有網(wǎng)絡(luò)（VPC）的交換機(jī)（VSwitch）。

資源使用者

資源使用者是資源共享的受益方，對共享的資源具有特定的操作權(quán)限，通常為資源目錄內(nèi)的一個或多個成員賬號。

共享單元

共享單元是資源共享的實(shí)例。共享單元本身也是一種云資源，擁有獨(dú)立的ID和ARN（Aliyun Resource Name）。共享單元包括：資源所有者、資源使用者和共享的資源。

資源組

資源組（Resource Group）是在阿里云賬號下進(jìn)行資源分組管理的一種機(jī)制。資源組幫助您解決單個云賬號內(nèi)多項(xiàng)目或多應(yīng)用的資源分組，以及用戶授權(quán)管理的復(fù)雜性問題。

資源夾

資源夾是資源目錄內(nèi)的組織單元，通常用于指代企業(yè)的分公司、業(yè)務(wù)線或產(chǎn)品項(xiàng)目。每個資源夾下可以放置成員賬號，并允許嵌套子資源夾，最終形成樹形的資源組織關(guān)系。

Root資源夾

Root資源夾位于資源目錄的頂層，沒有父資源夾。資源關(guān)系依據(jù)Root資源夾向下分布。

成員賬號

在資源目錄內(nèi)，成員賬號作為資源容器，是一種資源分組單位。成員賬號通常用于指代一個項(xiàng)目或應(yīng)用，每個成員賬號中的資源相對其他成員賬號中的資源是物理隔離的。您可以通過企業(yè)管理賬號授予RAM用戶、RAM用戶組或RAM角色對成員賬號內(nèi)資源的訪問權(quán)限。

成員賬號分為如下兩種類型：

• 資源賬號

  您在資源目錄中創(chuàng)建的成員默認(rèn)為資源賬號。資源賬號不允許開啟Root登錄權(quán)限，具有更高的安全性。

• 云賬號

  云賬號就是阿里云賬號作為資源目錄成員的稱呼，您可以邀請已存在的阿里云賬號加入到資源目錄中。阿里云賬號具有Root登錄權(quán)限。

企業(yè)管理賬號

企業(yè)管理賬號是資源目錄的超級管理員，也是開通資源目錄的初始賬號，對其創(chuàng)建的資源目錄和成員賬號擁有完全控制權(quán)限。只有通過企業(yè)實(shí)名認(rèn)證的阿里云賬號才能開通資源目錄，每個資源目錄有且只有一個企業(yè)管理賬號。

為了確保企業(yè)管理賬號的安全，建議您創(chuàng)建一個新的阿里云賬號作為企業(yè)管理賬號，避免將已有用途的云賬號作為企業(yè)管理賬號。同時，您可以為企業(yè)管理賬號創(chuàng)建一個RAM用戶并授予管理員權(quán)限，使用該RAM用戶管理整個資源目錄。資源目錄中的所有操作都必須由企業(yè)管理賬號或具有管理員權(quán)限的RAM用戶執(zhí)行。

操作審計

操作審計（ActionTrail）幫助您監(jiān)控并記錄阿里云賬號的活動，包括通過阿里云控制臺、OpenAPI、開發(fā)者工具對云上產(chǎn)品和服務(wù)的訪問和使用行為。您可以將這些行為事件下載或保存到日志服務(wù)或OSS存儲空間，然后進(jìn)行行為分析、安全分析、資源變更行為追蹤和行為合規(guī)性審計等操作。

影子跟蹤

如果您創(chuàng)建跟蹤的同時追蹤了多個地域的操作事件，則操作審計會在相關(guān)地域創(chuàng)建相同配置的跟蹤來收集這些地域的操作事件，這種跟蹤叫做影子跟蹤。

平臺事件跟蹤

平臺事件跟蹤是阿里云賬號創(chuàng)建的用于記錄平臺操作事件的跟蹤。

多賬號跟蹤

多賬號跟蹤是企業(yè)管理賬號創(chuàng)建的用于記錄所有成員賬號操作事件的跟蹤。多賬號跟蹤會把所有成員賬號的操作事件投遞到多賬號跟蹤設(shè)置的OSS存儲空間或SLS Logstore中。

單賬號跟蹤

單賬號跟蹤是阿里云賬號創(chuàng)建的用于記錄當(dāng)前賬號操作事件的跟蹤。

跟蹤

通過設(shè)置跟蹤將操作事件保存到指定的OSS存儲空間和SLS Logstore下，便于進(jìn)一步分析和存儲。根據(jù)創(chuàng)建者和作用范圍的不同分為單賬號跟蹤、多賬號跟蹤和平臺事件跟蹤。

Home地域

Home地域是發(fā)起創(chuàng)建跟蹤操作的地域。

全局事件

全局事件是全局服務(wù)的操作事件。在操作審計控制臺的事件查詢頁面，選擇任意地域均可看到全量的全局事件。但當(dāng)事件被投遞到用戶設(shè)置的OSS存儲空間時，全局事件與跟蹤的Home地域事件放在同一個目錄下。

全局服務(wù)

全局服務(wù)是不區(qū)分地域的服務(wù)，例如：RAM。全局服務(wù)會產(chǎn)出全局事件。

平臺操作事件

平臺操作事件是阿里云運(yùn)維團(tuán)隊針對用戶服務(wù)的維護(hù)操作所產(chǎn)生的事件。您可以通過平臺操作審計創(chuàng)建跟蹤，記錄此類事件。

操作事件

操作事件是用戶通過阿里云控制臺、OpenAPI、開發(fā)者工具訪問和管控云上服務(wù)所產(chǎn)生的事件記錄。操作事件包含時間、人員、資源、操作類型、操作結(jié)果、來源IP等信息。

配置審計

配置審計（Config）是一項(xiàng)資源審計服務(wù)，為您提供面向資源的配置歷史追蹤、配置合規(guī)審計等能力。面對大量資源，幫您輕松實(shí)現(xiàn)基礎(chǔ)設(shè)施的自主監(jiān)管，確保持續(xù)性合規(guī)。

企業(yè)版配置審計

在云上使用多個企業(yè)管理賬號的企業(yè)客戶，可將配置審計升級為企業(yè)版配置審計，實(shí)現(xiàn)跨賬號的中心化合規(guī)管理。配置審計與資源目錄相結(jié)合，使企業(yè)客戶可以在企業(yè)管理賬號中對所有成員賬號的資源配置進(jìn)行合規(guī)審計。

個人版配置審計

如果您無跨賬號合規(guī)管理的需求，則您可以使用個人版配置審計，管理單個阿里云賬號下資源的合規(guī)審計。

等保預(yù)檢

等保2.0預(yù)檢為云上的合規(guī)檢測，為您動態(tài)且持續(xù)地檢測阿里云上資源的合規(guī)性，從而避免正式檢測時多次反復(fù)整改，幫助您快速通過等保檢測。

合規(guī)時間線

規(guī)則評估在資源配置變更發(fā)生時觸發(fā)，配置時間線會有一個對應(yīng)的合規(guī)時間線，是每次合規(guī)評估結(jié)果的歷史記錄。合規(guī)時間線的合規(guī)評估記錄與規(guī)則觸發(fā)方式有關(guān)。

• 如果規(guī)則為定時觸發(fā)，則只包括定時評估的記錄。

• 如果規(guī)則為資源配置變更觸發(fā)，則只包括配置變更時評估的記錄。

• 如果規(guī)則同時為定時觸發(fā)和資源配置變更觸發(fā)，則同時包括定時和配置變更時評估的記錄。

規(guī)則

規(guī)則指用于判斷資源配置是否合規(guī)的規(guī)則函數(shù)。配置審計使用函數(shù)計算中的函數(shù)來承載規(guī)則代碼。規(guī)則綁定資源類型后，當(dāng)該資源類型中的資源發(fā)生配置變更時，自動觸發(fā)規(guī)則評估，檢查本次配置變更的合規(guī)性。您也可以設(shè)置規(guī)則定時觸發(fā)，配置審計定時為您檢查所有資源的合規(guī)性。配置審計支持的規(guī)則如下：

• 托管規(guī)則

• 自定義規(guī)則

  • 使用函數(shù)計算新建規(guī)則

    您需要先在函數(shù)計算控制臺新建函數(shù)，再在配置審計控制臺上選擇函數(shù)ARN。

  • 使用可視化編輯器新建規(guī)則

配置時間線

配置審計為您提供每個監(jiān)控范圍內(nèi)資源的配置時間線。

• 對于您開通配置審計服務(wù)時已保有的資源，配置時間線的起點(diǎn)是服務(wù)開通時間。

• 對于您開通配置審計服務(wù)后新建的資源，配置時間線的起點(diǎn)是資源新建時間。配置審計每10分鐘記錄一次資源配置變更，如果資源配置變更，則會在配置時間線出現(xiàn)一個節(jié)點(diǎn)，顯示該時間點(diǎn)的資源配置詳情、變更詳情，以及該變更涉及的操作事件。

監(jiān)控范圍

監(jiān)控范圍指監(jiān)控資源類型的范圍，監(jiān)控的粒度是資源類型。

• 當(dāng)某個資源類型在監(jiān)控范圍內(nèi)時，當(dāng)前阿里云賬號下該資源類型的所有資源都會被追蹤，每10分鐘記錄一次配置變更。

• 當(dāng)某個資源類型被移出監(jiān)控范圍時，當(dāng)前阿里云賬號下該資源類型的所有資源都停止記錄配置變更。

資源配置詳情

配置審計通過云服務(wù)開放的資源查詢接口可獲取當(dāng)前阿里云賬號下的所有資源。您可以在資源列表中查看各個資源的配置信息，也可以快速跳轉(zhuǎn)到指定資源的云服務(wù)控制臺，對其進(jìn)行管理。

資源類型

資源類型是一組實(shí)體資源的歸類。例如：云服務(wù)器ECS實(shí)例的資源類型為ECS實(shí)例。資源可以分為以下幾類：

• 計算實(shí)例、存儲實(shí)例等實(shí)體資源。

• 工作組、工作流等應(yīng)用級產(chǎn)品的管理資源。

• 角色、策略等權(quán)限相關(guān)的管理資源。

云企業(yè)網(wǎng)CEN

云企業(yè)網(wǎng)（Cloud Enterprise Network）是承載在阿里云提供的高性能、低延遲的私有全球網(wǎng)絡(luò)上的一張高可用網(wǎng)絡(luò)。云企業(yè)網(wǎng)可幫助您在不同地域VPC間，VPC與本地數(shù)據(jù)中心間搭建私網(wǎng)通信通道，通過自動路由分發(fā)及學(xué)習(xí)，提高網(wǎng)絡(luò)的快速收斂和跨網(wǎng)絡(luò)通信的質(zhì)量和安全性，實(shí)現(xiàn)全網(wǎng)資源的互通，幫助您打造一張具有企業(yè)級規(guī)模和通信能力的互聯(lián)網(wǎng)絡(luò)。

轉(zhuǎn)發(fā)路由器TR

一個云企業(yè)網(wǎng)實(shí)例將在每個地域內(nèi)創(chuàng)建一個轉(zhuǎn)發(fā)路由器（Transit Router），作為您在每個地域內(nèi)的網(wǎng)絡(luò)管理運(yùn)維中心。轉(zhuǎn)發(fā)路由器可以幫您連接當(dāng)前地域的網(wǎng)絡(luò)實(shí)例，作為與同地域或跨地域網(wǎng)絡(luò)實(shí)例互通的橋梁。轉(zhuǎn)發(fā)路由器也是各個地域內(nèi)路由表、路由策略、跨地域連接等功能的載體，您可以通過轉(zhuǎn)發(fā)路由器添加路由、設(shè)置路由策略等，實(shí)現(xiàn)您多樣化的組網(wǎng)和網(wǎng)絡(luò)管理需求。

專有網(wǎng)絡(luò)VPC

專有網(wǎng)絡(luò)VPC（Virtual Private Cloud）是用戶基于阿里云創(chuàng)建的自定義私有網(wǎng)絡(luò)，不同的專有網(wǎng)絡(luò)之間二層邏輯隔離，用戶可以在自己創(chuàng)建的專有網(wǎng)絡(luò)內(nèi)創(chuàng)建和管理云產(chǎn)品實(shí)例，比如ECS、負(fù)載均衡、RDS等。專有網(wǎng)絡(luò)是您自己獨(dú)有的云上私有網(wǎng)絡(luò)。您可以完全掌控自己的專有網(wǎng)絡(luò)，例如選擇IP地址范圍、配置路由表和網(wǎng)關(guān)等，您可以在自己定義的專有網(wǎng)絡(luò)中使用阿里云資源如云服務(wù)器、云數(shù)據(jù)庫RDS版和負(fù)載均衡等。

交換機(jī)vSwitch

交換機(jī)（vSwitch）是組成專有網(wǎng)絡(luò)的基礎(chǔ)網(wǎng)絡(luò)設(shè)備，用來連接不同的云資源實(shí)例。專有網(wǎng)絡(luò)是地域級別的資源，專有網(wǎng)絡(luò)不可以跨地域，但包含所屬地域的所有可用區(qū)。您可以在每個可用區(qū)內(nèi)創(chuàng)建一個或多個交換機(jī)來劃分子網(wǎng)。

高速通道EC

高速通道（Express Connect）用于建立線下IDC和云上CEN間的私網(wǎng)通信通道，為客戶提供一條高靈活度、高質(zhì)量和高安全性的跨網(wǎng)絡(luò)通信鏈路。

智能接入網(wǎng)關(guān)SAG

智能接入網(wǎng)關(guān)（Smart Access Gateway）是阿里云提供的一站式快速上云解決方案。企業(yè)可通過智能接入網(wǎng)關(guān)實(shí)現(xiàn)Internet就近加密接入，獲得更加智能、更加可靠、更加安全的上云體驗(yàn)。