日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云消息隊列 RabbitMQ 版 安全合規 使用RAM進行訪問控制 基于身份的策略 RAM主子賬號授權

RAM主子賬號授權

更新時間:
我的收藏

借助訪問控制RAM的RAM用戶,您可以實現阿里云賬號(主賬號)和RAM用戶(子賬號)權限分割,按需為RAM用戶賦予不同的權限,避免因暴露阿里云賬號密鑰而造成安全風險。

背景信息

企業A開通了云消息隊列 RabbitMQ 版服務,該企業需要員工操作云消息隊列 RabbitMQ 版服務所涉及的資源,例如實例、Vhost、Queue和Exchange。由于每個員工的工作職責不一樣,需要的權限也不一樣。企業A的需求如下:

  • 出于安全或信任的考慮,不希望將云賬號密鑰直接透露給員工,而希望能給員工創建相應的用戶賬號。

  • 用戶賬號只能在授權的前提下操作資源,不需要對用戶賬號進行獨立的計量計費,所有開銷都計入企業賬號名下。

  • 隨時可以撤銷用戶賬號的權限,也可以隨時刪除其創建的用戶賬號。

步驟一:創建RAM用戶

使用企業A的阿里云賬號登錄RAM控制臺并為員工創建RAM用戶。

操作步驟

  1. 使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 用戶。

  3. 用戶頁面,單擊創建用戶

  4. 創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。

    • 登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。

    • 顯示名稱:最多包含128個字符或漢字。

    • 標簽:單擊edit,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。

    說明

    單擊添加用戶,可以批量創建多個RAM用戶。

  5. 訪問方式區域,選擇訪問方式,然后設置對應參數。

    為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。

    • 控制臺訪問

      如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和登錄密碼訪問阿里云。您需要設置以下參數:

      • 控制臺登錄密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規則。更多信息,請參見設置RAM用戶密碼強度。

      • 密碼重置策略:選擇RAM用戶在下次登錄時是否需要重置密碼。

      • 多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。啟用MFA后,主賬號還需要為RAM用戶綁定MFA設備或RAM用戶自行綁定MFA設備。更多信息,請參見為RAM用戶綁定MFA設備。

    • OpenAPI調用訪問

      如果RAM用戶代表應用程序,建議啟用OpenAPI調用訪問,使用訪問密鑰(AccessKey)訪問阿里云。啟用后,系統會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。更多信息,請參見創建AccessKey。

      重要

      RAM用戶的AccessKey Secret只在創建時顯示,不支持查看,請妥善保管。

  6. 單擊確定。

  7. 根據界面提示,完成安全驗證。

步驟二:為RAM用戶添加權限

為不同員工的RAM用戶授予不同的權限。

  1. 使用RAM管理員登錄RAM控制臺。

  2. 在左側導航欄,選擇身份管理 > 用戶

  3. 用戶頁面,單擊目標RAM用戶操作列的添加權限。

    image

    您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。

  4. 新增授權面板,為RAM用戶添加權限。

    1. 選擇資源范圍

      • 賬號級別:權限在當前阿里云賬號內生效。

      • 資源組級別:權限在指定的資源組內生效。

        說明

        指定資源組授權生效的前提是該云服務已支持資源組,詳情請參見支持資源組的云服務。

    2. 指定授權主體。

      授權主體即需要添加權限的RAM用戶。

    3. 選擇權限策略。

      權限策略是一組訪問權限的集合,分為兩種:

      • 系統策略:由阿里云創建,策略的版本更新由阿里云維護,用戶只能使用不能修改。更多信息,請參見支持RAM的云服務。

      • 自定義策略:由用戶管理,策略的版本更新由用戶維護。用戶可以自主創建、更新和刪除自定義策略。更多信息,請參見創建自定義權限策略。

      說明

      系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限策略。

    4. 單擊確認新增授權。

  5. 單擊關閉

后續步驟

企業A的員工的RAM用戶可以通過以下方式訪問企業A的云消息隊列 RabbitMQ 版。

  • 控制臺

    1. 在瀏覽器打開RAM用戶登錄入口

    2. RAM用戶登錄頁面,輸入RAM用戶名稱,單擊下一步,輸入RAM用戶密碼,然后單擊登錄。

      說明

      RAM用戶登錄名稱的格式為<$username>@<$AccountAlias><$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias>為賬號別名,如果沒有設置賬號別名,則默認值為阿里云賬號的ID。

  • API

    在代碼中使用RAM用戶的AccessKey ID和AccessKey Secret調用API訪問云消息隊列 RabbitMQ 版。