訪問控制概述
借助訪問控制RAM的RAM用戶,您可以實(shí)現(xiàn)權(quán)限分割的目的,按需為RAM用戶賦予不同權(quán)限,并避免因暴露阿里云賬號(hào)密鑰造成的安全風(fēng)險(xiǎn)。
應(yīng)用場(chǎng)景
以下是需用到訪問控制RAM的典型場(chǎng)景。
借助RAM用戶實(shí)現(xiàn)分權(quán)
企業(yè)A的某個(gè)項(xiàng)目(Project-X)上云,購買了多種阿里云產(chǎn)品,例如:ECS實(shí)例、RDS實(shí)例、SLB實(shí)例、OSS存儲(chǔ)空間等。項(xiàng)目里有多個(gè)員工需要操作這些云資源,由于每個(gè)員工的工作職責(zé)不同,需要的權(quán)限也不一樣。企業(yè)A希望能夠達(dá)到以下要求:
- 出于安全或信任的考慮,A不希望將云賬號(hào)密鑰直接透露給員工,而希望能給員工創(chuàng)建獨(dú)立賬號(hào)。
- 用戶賬號(hào)只能在授權(quán)的前提下操作資源。A隨時(shí)可以撤銷用戶賬號(hào)身上的權(quán)限,也可以隨時(shí)刪除其創(chuàng)建的用戶賬號(hào)。
- 不需要對(duì)用戶賬號(hào)進(jìn)行獨(dú)立的計(jì)量計(jì)費(fèi),所有開銷都由A來承擔(dān)。
針對(duì)以上需求,可以借助RAM的授權(quán)管理功能實(shí)現(xiàn)用戶分權(quán)及資源統(tǒng)一管理。
借助RAM角色實(shí)現(xiàn)跨賬號(hào)訪問資源
云賬號(hào)A和云賬號(hào)B分別代表不同的企業(yè)。A購買了多種云資源來開展業(yè)務(wù),例如:ECS實(shí)例、RDS實(shí)例、SLB實(shí)例、OSS存儲(chǔ)空間等。
- 企業(yè)A希望能專注于業(yè)務(wù)系統(tǒng),而將云資源運(yùn)維、監(jiān)控、管理等任務(wù)授權(quán)給企業(yè)B。
- 企業(yè)B還可以進(jìn)一步將A的資源訪問權(quán)限分配給B的某一個(gè)或多個(gè)員工,B可以精細(xì)控制其員工對(duì)資源的操作權(quán)限。
- 如果A和B的這種運(yùn)維合同關(guān)系終止,A隨時(shí)可以撤銷對(duì)B的授權(quán)。
針對(duì)以上需求,可以借助RAM角色實(shí)現(xiàn)跨賬號(hào)授權(quán)及資源訪問的控制。
權(quán)限策略
ARMS支持的系統(tǒng)權(quán)限策略如下所示。
權(quán)限策略 | 類型 | 說明 |
AliyunARMSFullAccess | 系統(tǒng) | 應(yīng)用實(shí)時(shí)監(jiān)控服務(wù)ARMS的完整權(quán)限 |
AliyunARMSReadOnlyAccess | 系統(tǒng) | 應(yīng)用實(shí)時(shí)監(jiān)控服務(wù)ARMS的只讀權(quán)限 重要 為了實(shí)現(xiàn)對(duì)ARMS所有功能的只讀權(quán)限,添加AliyunARMSReadOnlyAccess權(quán)限策略外,還需要再為特定的資源組配置ReadTraceApp權(quán)限,否則ARMS將無法展示資源組鑒權(quán)下的應(yīng)用列表。 |