為確保您的阿里云賬號及云資源使用安全,如非必要,都應避免直接使用阿里云賬號(即主賬號)來訪問GPU云服務器,推薦的做法是使用RAM身份(即RAM用戶和RAM角色)并授予權限策略來進行權限管理,可有效控制資源的訪問安全。
GPU云服務器使用RAM進行訪問控制時,其身份管理、權限策略以及服務關聯角色與云服務器ECS一致,具體說明如下:
身份管理
使用RAM用戶和RAM角色,通過授權來訪問和管理阿里云賬號(即主賬號)下的資源。更多信息,請參見身份管理。
基于身份的權限策略
支持授權系統策略和自定義策略兩種類型,通過為RAM身份綁定某種權限策略,獲得權限策略中指定的訪問權限。
系統策略:統一由阿里云創建和管理,用戶只能使用不能修改,策略的版本更新由阿里云維護。更多信息,請參見云服務器ECS系統權限策略參考。
自定義策略:用戶可以自主創建、更新和刪除,策略的版本更新由客戶自己維護。更多信息,請參見云服務器ECS自定義權限策略參考。
服務關聯角色
服務關聯角色SLR(Service-linked role)是一種可信實體為阿里云服務的RAM角色,使用服務關聯角色可以獲取其他云服務或云資源的訪問權限。更多信息,請參見服務關聯角色。
通過RAM角色授予訪問KMS密鑰的權限
當您需要使用KMS加密ECS資源(例如云盤、快照或鏡像)時,需要通過RAM角色授予ECS訪問KMS的權限;或共享加密快照、加密鏡像給其他阿里云賬號時,需先授予被共享賬號有訪問KMS密鑰的權限。更多信息,請參見通過RAM角色授予訪問KMS密鑰的權限。
文檔內容是否對您有幫助?