阿里云身份與權限
本文介紹您在訪問阿里云資源前,需要了解的阿里云通用用戶身份及對應的權限。
身份
阿里云將用戶身份分為兩種類型:實體用戶身份和虛擬用戶身份。
實體用戶身份
實體用戶身份指有確定的身份ID和身份憑證的身份,可以代表一個實際存在的對象,它通常與某個確定的人、企業或應用程序一一對應。身份憑證包括登錄密碼或訪問密鑰AK(AccessKey)。實體用戶身份包括阿里云賬號和訪問控制RAM(Resource Access Management)服務中的RAM用戶。通過實體用戶身份訪問云資源的方式包括:
使用用戶名和密碼、多因素認證MFA(Multi-Factor Authentication)通過控制臺訪問云資源。
使用AK通過程序訪問云資源。
阿里云賬號和RAM用戶的特點和使用場景有所不同。訪問阿里云資源前,請仔細閱讀以下內容。
特點
阿里云賬號擁有云操作系統的root或admin權限。
阿里云賬號是其名下資源付費的主體,并對其名下所有資源擁有完全控制權限。
使用場景
為確保您的阿里云賬號的安全,如非必要,避免使用阿里云賬號訪問云資源。
建議您使用阿里云賬號創建一個RAM用戶,并為RAM用戶授予管理員權限,后續使用有管理員權限的RAM用戶創建并管理其他RAM用戶。
特點
RAM用戶必須在獲得RAM管理員(或阿里云賬號)的授權后才能登錄控制臺或使用API操作阿里云賬號下的資源。
RAM用戶不擁有資源,不能獨立計量計費,由所屬的阿里云賬號統一控制和付費,只能在所屬阿里云賬號的空間下可見。
使用場景
一個RAM用戶對應某一個操作實體,包括運維操作人員或應用程序。推薦您通過RAM用戶訪問并使用云資源。
您也可以將職責相同的RAM用戶進行分類并授權,組建RAM用戶組,從而更高效地管理RAM用戶。
虛擬用戶身份
虛擬用戶身份指沒有確定的身份憑證(登錄密碼或AK)的身份。阿里云的虛擬用戶身份是指RAM服務中的RAM角色。RAM角色需要被一個可以信任的實體用戶扮演。實體用戶扮演成功后將獲得RAM角色的臨時身份憑證,即安全令牌(STS Token),使用STS Token就能以RAM角色身份訪問被授權的資源。
RAM角色支持的可信實體如下表。
可信實體 | 使用場景 | 相關文檔 |
阿里云賬號 | 主要用于解決跨賬號訪問和臨時授權問題,僅允許可信阿里云賬號下的RAM用戶扮演。可信阿里云賬號既可以是當前賬號,也可以是其他賬號。 | |
阿里云服務 | 該角色主要用于解決跨云服務授權訪問的問題,僅允許可信云服務扮演。 | |
身份提供商 | 主要用于實現與阿里云的單點登錄(SSO),僅允許可信身份提供商下的用戶扮演。 |
權限
權限是指不同用戶身份對具體資源的訪問能力,即在某種條件下允許或拒絕對某些資源執行某些操作。
實體用戶身份權限
實體用戶身份 | 默認權限 | 是否需要授權 | 授權說明 |
阿里云賬號 | 擁有資源的所有權限 | 否 | 阿里云賬號對其名下資源擁有完全控制的權限。任何其他用戶訪問云資源都需要獲得阿里云賬號的授權。 |
RAM用戶 | 無任何權限 | 新建的RAM用戶只有在被授權之后,才能通過控制臺和API訪問并使用云資源。 | 阿里云是通過RAM服務為不同身份綁定權限策略的方式實現授權。權限策略是用語法結構描述的一組權限的集合,可以精確地描述被授權的資源集、操作集以及授權條件。 RAM服務支持以下兩種權限策略:
您通過為RAM用戶(或RAM用戶組)綁定權限策略,可以使其獲得權限策略中指定的訪問權限。詳情請參見為RAM用戶授權(或為用戶組授權)。 |
虛擬用戶身份權限
阿里云的虛擬用戶身份RAM角色默認沒有任何權限。
新建的RAM角色在指定可信實體后,只有在被授權之后,才能通過控制臺和API訪問并使用云資源。
您可以通過為RAM角色綁定權限策略,使其獲得權限策略中指定的訪問權限。詳情請參見文檔:為RAM角色授權。