日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關(guān)鍵字查找
首頁 訪問控制 操作指南 RAM角色管理 RAM角色概覽

RAM角色概覽

更新時間:
產(chǎn)品詳情
我的收藏

本文為您介紹RAM角色的定義、分類、應(yīng)用場景、基本概念、使用流程和使用限制。

什么是RAM角色

RAM角色是一種虛擬用戶,可以被授予一組權(quán)限策略。與RAM用戶不同,RAM角色沒有永久身份憑證(登錄密碼或訪問密鑰),需要被一個可信實體扮演。扮演成功后,可信實體將獲得RAM角色的臨時身份憑證,即安全令牌(STS Token),使用該安全令牌就能以RAM角色身份訪問被授權(quán)的資源。

RAM角色類型

根據(jù)不同的可信實體,RAM角色分為以下三類:

  • 可信實體為阿里云賬號的RAM角色:允許RAM用戶扮演的角色。扮演角色的RAM用戶可以屬于自己的阿里云賬號,也可以屬于其他阿里云賬號。該類角色主要用于解決跨賬號訪問和臨時授權(quán)問題。

  • 可信實體為阿里云服務(wù)的RAM角色:允許云服務(wù)扮演的角色。分為普通服務(wù)角色和服務(wù)關(guān)聯(lián)角色兩種。該類角色主要用于解決跨服務(wù)訪問問題。

  • 可信實體為身份提供商的RAM角色:允許可信身份提供商下的用戶所扮演的角色。該類角色主要用于實現(xiàn)與阿里云的單點登錄(SSO)。

應(yīng)用場景

  • 臨時授權(quán)訪問

    通常情況下,建議您通過服務(wù)端調(diào)用API,盡可能保證訪問密鑰不被泄露。但是有些上傳文件的場景最好采用客戶端直傳的形式,避免服務(wù)端中轉(zhuǎn)帶來的多余開銷。此時,可以由服務(wù)端下發(fā)臨時安全令牌(STS Token),客戶端通過臨時安全令牌(STS Token)進行資源直傳。

    更多信息,請參見移動應(yīng)用使用臨時安全令牌訪問阿里云

  • 跨賬號訪問

    當(dāng)您擁有多個阿里云賬號,例如:賬號A和賬號B,希望實現(xiàn)賬號A訪問賬號B的指定資源。此時,您可以在賬號B下創(chuàng)建可信實體為賬號A的RAM角色,并授權(quán)允許賬號A下的某個RAM用戶或RAM角色可以扮演該角色,然后通過該角色訪問賬號B的指定資源。

    更多信息,請參見跨阿里云賬號的資源授權(quán)

  • 跨服務(wù)訪問

    在某些場景下,一個云服務(wù)為了完成自身的某個功能,需要獲取其他云服務(wù)的訪問權(quán)限。例如:配置審計(Config)服務(wù)要讀取您的云資源信息,以獲取資源列表和資源配置變更歷史,就需要獲取ECS、RDS等產(chǎn)品的訪問權(quán)限。此時,您可以創(chuàng)建可信實體為阿里云服務(wù)的RAM角色解決該問題。推薦您優(yōu)先使用服務(wù)關(guān)聯(lián)角色,對于不支持服務(wù)關(guān)聯(lián)角色的云服務(wù),請使用普通服務(wù)角色。

    更多信息,請參見支持服務(wù)關(guān)聯(lián)角色的云服務(wù)

  • 單點登錄(角色SSO)

    阿里云與企業(yè)進行角色SSO時,阿里云是服務(wù)提供商(SP),而企業(yè)自有的身份管理系統(tǒng)則是身份提供商(IdP)。通過角色SSO,企業(yè)可以在本地IdP中管理員工信息,無需進行阿里云和企業(yè)IdP間的用戶同步,企業(yè)員工將使用指定的RAM角色登錄阿里云。此時,您可以創(chuàng)建可信實體為身份提供商的RAM角色解決該問題。

    更多信息,請參見SAML角色SSO概覽OIDC角色SSO概覽

基本概念

概念

說明

可信實體

角色的可信實體是指可以扮演角色的實體身份。創(chuàng)建角色時必須指定可信實體,角色只能被可信實體扮演。可信實體可以是阿里云賬號、阿里云服務(wù)或身份提供商。

角色ARN

角色ARN是角色的全局資源描述符,用來指定具體角色。ARN遵循阿里云ARN的命名規(guī)范,格式為acs:ram::<account-id>:role/<role-name>。其中,<role-name>部分會將角色的名稱全部轉(zhuǎn)換為小寫。關(guān)于如何查看角色ARN,請參見查看RAM角色

權(quán)限策略

權(quán)限策略是用語法結(jié)構(gòu)描述的一組權(quán)限的集合,可以精確地描述被授權(quán)的資源集、操作集以及授權(quán)條件。權(quán)限策略是描述權(quán)限集的一種簡單語言規(guī)范。一個RAM角色可以綁定一組權(quán)限策略,沒有綁定權(quán)限策略的RAM角色可以存在,但不能訪問資源。

扮演角色

扮演角色是實體用戶獲取角色安全令牌的方法。具體如下:

RAM角色基本概念

  • 通過控制臺扮演角色:一個實體用戶登錄控制臺后,通過切換身份的方式扮演RAM角色。

  • 通過API扮演角色:一個實體用戶調(diào)用AssumeRole可以獲得角色的安全令牌,使用安全令牌可以訪問云服務(wù)API。

切換身份

切換身份是在控制臺中實體用戶從當(dāng)前登錄身份切換到角色身份的方法。一個實體用戶登錄到控制臺之后,可以切換到被許可扮演的某一種角色身份,然后以角色身份操作云資源。當(dāng)用戶不需要使用角色身份時,可以從角色身份切換回原來的登錄身份。

安全令牌

安全令牌(STS Token)是角色身份的一種臨時訪問密鑰。角色身份沒有確定的訪問密鑰,當(dāng)一個實體用戶要使用角色時,必須通過扮演角色來獲取對應(yīng)的角色令牌,然后使用角色令牌來調(diào)用阿里云服務(wù)API。

使用流程

  1. 使用阿里云賬號(主賬號)或具有管理員權(quán)限的RAM用戶登錄RAM控制臺

  2. 創(chuàng)建RAM角色。

  3. 為RAM角色授權(quán)。

    具體操作,請參見為RAM角色授權(quán)

  4. 可信實體通過控制臺或調(diào)用API扮演角色并獲取角色的安全令牌。

  5. 可信實體通過角色身份訪問被授權(quán)的云資源。

使用限制

關(guān)于RAM角色的使用限制,請參見使用限制