使用RAM用戶操作云備份可降低阿里云賬戶信息安全風險。本文介紹如何創建RAM用戶并授予其操作云備份的權限,并使用該RAM用戶進行云備份操作。
背景信息
在實際的應用場景中,阿里云賬號可能需要將云備份的運營維護工作交予其名下的RAM用戶,由RAM用戶對云備份進行日常維護工作,或者阿里云賬號名下的RAM用戶可能有訪問云備份資源的需求。此時,阿里云賬號需要對其名下的RAM用戶進行授權,授予其訪問或者操作云備份的權限。出于安全性的考慮,云備份建議您將RAM用戶的權限設置為需求范圍內的最小權限。關于RAM用戶的詳細信息,請參見RAM入門概述。
步驟一:創建RAM用戶
使用RAM進行操作,您需要先創建RAM用戶,然后給該RAM用戶分配不同的授權策略。
請按照如下步驟創建RAM用戶。
操作步驟
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊創建用戶。
在創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。
登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。
說明單擊添加用戶,可以批量創建多個RAM用戶。
在訪問方式區域,選擇訪問方式,然后設置對應參數。
為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。
控制臺訪問
如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和登錄密碼訪問阿里云。您需要設置以下參數:
控制臺登錄密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規則。更多信息,請參見設置RAM用戶密碼強度。
密碼重置策略:選擇RAM用戶在下次登錄時是否需要重置密碼。
多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。啟用MFA后,主賬號還需要為RAM用戶綁定MFA設備或RAM用戶自行綁定MFA設備。更多信息,請參見為RAM用戶綁定MFA設備。
OpenAPI調用訪問
如果RAM用戶代表應用程序,建議啟用OpenAPI調用訪問,使用訪問密鑰(AccessKey)訪問阿里云。啟用后,系統會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。更多信息,請參見創建AccessKey。
重要RAM用戶的AccessKey Secret只在創建時顯示,不支持查看,請妥善保管。
單擊確定。
根據界面提示,完成安全驗證。
步驟二:為RAM用戶授權
新建的RAM用戶默認沒有任何操作權限,只有在被授權之后,才能通過控制臺和API操作資源。
云備份提供兩種系統授權策略:
AliyunHBRFullAccess:賦予RAM用戶云備份的所有使用權限,類似管理員,風險較大,請謹慎選擇。
AliyunHBRReadOnlyAccess:賦予RAM用戶云備份控制臺的讀權限。
您還可以在RAM控制臺自定義授權策略,滿足權限精細化管理。更多信息,請參見創建自定義權限策略。
本文以為RAM用戶授予AliyunHBRReadOnlyAccess權限為例。
使用RAM管理員登錄RAM控制臺。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。
在新增授權面板的系統策略下,搜索并選擇AliyunHBRReadOnlyAccess,單擊確認新增授權。
說明在右側區域框,選擇某條策略并單擊×,可撤銷該策略。
確認授權結果,單擊關閉。
步驟三:使用RAM用戶進行備份操作
使用RAM用戶登錄云備份控制臺,就可以進行備份恢復操作。
在左側導航欄選擇不同的備份功能,就可以進行備份恢復操作。
在您首次對某資源進行備份時,云備份會自動創建服務關聯角色獲取訪問對應資源的權限,請按照向導完成創建即可。更多信息,請參見云備份服務關聯角色。
更多權限策略參考
您可以給指定RAM用戶添加RAM權限,使得該RAM用戶對此備份庫只能使用備份或者恢復功能。
復制對應權限策略模板,然后在RAM控制臺創建自定義權限策略,并授予目標RAM用戶即可。具體操作,請參見分離備份和恢復權限。
禁止使用恢復功能的權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "hbr:CreateRestore", "hbr:CreateRestoreJob", "hbr:CreateHanaRestore", "hbr:CreateUniRestorePlan", "hbr:CreateSqlServerRestore" ], "Resource": [ "acs:hbr:*:1178******531:vault/v-000******blx06", "acs:hbr:*:1178******531:vault/v-000******blx06/client/*" ] } ] }禁止使用備份功能的權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "hbr:CreateUniBackupPlan", "hbr:UpdateUniBackupPlan", "hbr:DeleteUniBackupPlan", "hbr:CreateHanaInstance", "hbr:UpdateHanaInstance", "hbr:DeleteHanaInstance", "hbr:CreateHanaBackupPlan", "hbr:UpdateHanaBackupPlan", "hbr:DeleteHanaBackupPlan", "hbr:CreateClient", "hbr:CreateClients", "hbr:UpdateClient", "hbr:UpdateClientSettings", "hbr:UpdateClientAlertConfig", "hbr:DeleteClient", "hbr:DeleteClients", "hbr:CreateJob", "hbr:UpdateJob", "hbr:CreateBackupPlan", "hbr:UpdateBackupPlan", "hbr:ExecuteBackupPlan", "hbr:DeleteBackupPlan", "hbr:CreateBackupJob", "hbr:CreatePlan", "hbr:UpdatePlan", "hbr:CreateTrialBackupPlan", "hbr:ConvertToPostPaidInstance", "hbr:KeepAfterTrialExpiration" ], "Resource": [ "acs:hbr:*:1178******9531:vault/v-000******blx06", "acs:hbr:*:1178******9531:vault/v-000******blx06/client/*" ] } ] }