訪問控制概述
借助訪問控制RAM的RAM用戶,您可以實現(xiàn)權(quán)限分割的目的,按需為RAM用戶賦予不同權(quán)限,并避免因暴露阿里云賬號密鑰造成的安全風(fēng)險。
應(yīng)用場景
以下是需用到訪問控制RAM的典型場景。
借助RAM用戶實現(xiàn)分權(quán)
企業(yè)A的某個項目(Project-X)上云,購買了多種阿里云產(chǎn)品,例如:ECS實例、RDS實例、SLB實例、OSS存儲空間等。項目里有多個員工需要操作這些云資源,由于每個員工的工作職責(zé)不同,需要的權(quán)限也不一樣。企業(yè)A希望能夠達到以下要求:
- 出于安全或信任的考慮,A不希望將云賬號密鑰直接透露給員工,而希望能給員工創(chuàng)建獨立賬號。
- 用戶賬號只能在授權(quán)的前提下操作資源。A隨時可以撤銷用戶賬號身上的權(quán)限,也可以隨時刪除其創(chuàng)建的用戶賬號。
- 不需要對用戶賬號進行獨立的計量計費,所有開銷都由A來承擔(dān)。
針對以上需求,可以借助RAM的授權(quán)管理功能實現(xiàn)用戶分權(quán)及資源統(tǒng)一管理。
借助RAM角色實現(xiàn)跨賬號訪問資源
云賬號A和云賬號B分別代表不同的企業(yè)。A購買了多種云資源來開展業(yè)務(wù),例如:ECS實例、RDS實例、SLB實例、OSS存儲空間等。
- 企業(yè)A希望能專注于業(yè)務(wù)系統(tǒng),而將云資源運維、監(jiān)控、管理等任務(wù)授權(quán)給企業(yè)B。
- 企業(yè)B還可以進一步將A的資源訪問權(quán)限分配給B的某一個或多個員工,B可以精細控制其員工對資源的操作權(quán)限。
- 如果A和B的這種運維合同關(guān)系終止,A隨時可以撤銷對B的授權(quán)。
針對以上需求,可以借助RAM角色實現(xiàn)跨賬號授權(quán)及資源訪問的控制。
權(quán)限策略
ARMS支持的系統(tǒng)權(quán)限策略如下所示。
權(quán)限策略 | 類型 | 說明 |
AliyunARMSFullAccess | 系統(tǒng) | 應(yīng)用實時監(jiān)控服務(wù)ARMS的完整權(quán)限 |
AliyunARMSReadOnlyAccess | 系統(tǒng) | 應(yīng)用實時監(jiān)控服務(wù)ARMS的只讀權(quán)限 重要 為了實現(xiàn)對ARMS所有功能的只讀權(quán)限,添加AliyunARMSReadOnlyAccess權(quán)限策略外,還需要再為特定的資源組配置ReadTraceApp權(quán)限,否則ARMS將無法展示資源組鑒權(quán)下的應(yīng)用列表。 |