日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

阿里云身份與權限

更新時間:

本文介紹您在訪問阿里云資源前,需要了解的阿里云通用用戶身份及對應的權限。

身份

阿里云將用戶身份分為兩種類型:實體用戶身份和虛擬用戶身份。

實體用戶身份

實體用戶身份指有確定的身份ID和身份憑證的身份,可以代表一個實際存在的對象,它通常與某個確定的人、企業或應用程序一一對應。身份憑證包括登錄密碼或訪問密鑰AK(AccessKey)。實體用戶身份包括阿里云賬號和訪問控制RAM(Resource Access Management)服務中的RAM用戶。通過實體用戶身份訪問云資源的方式包括:

  • 使用用戶名和密碼、多因素認證MFA(Multi-Factor Authentication)通過控制臺訪問云資源

  • 使用AK通過程序訪問云資源。

阿里云賬號和RAM用戶的特點和使用場景有所不同。訪問阿里云資源前,請仔細閱讀以下內容。

阿里云賬號

特點

  • 阿里云賬號擁有云操作系統的root或admin權限。

  • 阿里云賬號是其名下資源付費的主體,并對其名下所有資源擁有完全控制權限。

使用場景

為確保您的阿里云賬號的安全,如非必要,避免使用阿里云賬號訪問云資源。

建議您使用阿里云賬號創建一個RAM用戶,并為RAM用戶授予管理員權限,后續使用有管理員權限的RAM用戶創建并管理其他RAM用戶。

RAM用戶

特點

  • RAM用戶必須在獲得RAM管理員(或阿里云賬號)的授權后才能登錄控制臺或使用API操作阿里云賬號下的資源。

  • RAM用戶不擁有資源,不能獨立計量計費,由所屬的阿里云賬號統一控制和付費,只能在所屬阿里云賬號的空間下可見。

使用場景

一個RAM用戶對應某一個操作實體,包括運維操作人員或應用程序。推薦您通過RAM用戶訪問并使用云資源。

說明

您也可以將職責相同的RAM用戶進行分類并授權,組建RAM用戶組,從而更高效地管理RAM用戶。

虛擬用戶身份

虛擬用戶身份指沒有確定的身份憑證(登錄密碼或AK)的身份。阿里云的虛擬用戶身份是指RAM服務中的RAM角色。RAM角色需要被一個可以信任的實體用戶扮演。實體用戶扮演成功后將獲得RAM角色的臨時身份憑證,即安全令牌(STS Token),使用STS Token就能以RAM角色身份訪問被授權的資源。

RAM角色支持的可信實體如下表。

可信實體

使用場景

相關文檔

阿里云賬號

主要用于解決跨賬號訪問和臨時授權問題,僅允許可信阿里云賬號下的RAM用戶扮演。可信阿里云賬號既可以是當前賬號,也可以是其他賬號。

創建可信實體為阿里云賬號的RAM角色

阿里云服務

該角色主要用于解決跨云服務授權訪問的問題,僅允許可信云服務扮演。

創建可信實體為阿里云服務的RAM角色

身份提供商

主要用于實現與阿里云的單點登錄(SSO),僅允許可信身份提供商下的用戶扮演。

創建可信實體為身份提供商的RAM角色

權限

權限是指不同用戶身份對具體資源的訪問能力,即在某種條件下允許或拒絕對某些資源執行某些操作。

實體用戶身份權限

實體用戶身份

默認權限

是否需要授權

授權說明

阿里云賬號

擁有資源的所有權限

阿里云賬號對其名下資源擁有完全控制的權限。任何其他用戶訪問云資源都需要獲得阿里云賬號的授權。

RAM用戶

無任何權限

新建的RAM用戶只有在被授權之后,才能通過控制臺和API訪問并使用云資源。

阿里云是通過RAM服務為不同身份綁定權限策略的方式實現授權。權限策略是用語法結構描述的一組權限的集合,可以精確地描述被授權的資源集、操作集以及授權條件。

RAM服務支持以下兩種權限策略:

  • 阿里云管理的系統策略:統一由阿里云創建,用戶只能使用不能修改,策略的版本更新由阿里云維護。

  • 用戶管理的自定義策略:用戶可以自主創建、更新和刪除,策略的版本更新由客戶自己維護。

您通過為RAM用戶(或RAM用戶組)綁定權限策略,可以使其獲得權限策略中指定的訪問權限。詳情請參見為RAM用戶授權(或為用戶組授權)。

虛擬用戶身份權限

阿里云的虛擬用戶身份RAM角色默認沒有任何權限。

新建的RAM角色在指定可信實體后,只有在被授權之后,才能通過控制臺和API訪問并使用云資源。

您可以通過為RAM角色綁定權限策略,使其獲得權限策略中指定的訪問權限。詳情請參見文檔:為RAM角色授權。

相關文檔