事件總線EventBridge支持云賬戶(主賬號)給RAM用戶(子賬號)授予資源級別的權(quán)限,避免因暴露阿里云賬號(主賬號)密鑰造成的安全風(fēng)險。僅限有權(quán)限的RAM用戶在事件總線EventBridge的控制臺上管理資源,以及通過SDK/API發(fā)布事件。

應(yīng)用場景

企業(yè)A購買了事件總線EventBridge服務(wù),企業(yè)A的員工需要操作這些服務(wù)所涉及的資源,例如事件規(guī)則、事件總線(EventBus)等資源。由于每個員工的工作職責(zé)不一樣,需要的權(quán)限也不一樣。

具體場景說明如下:

  • 出于安全或信任的考慮,企業(yè)A不希望將云賬號密鑰直接透露給員工,而希望能給員工創(chuàng)建相應(yīng)的用戶賬號。
  • 用戶賬號只能在授權(quán)的前提下操作資源,不需要對用戶賬號單獨(dú)計量計費(fèi),所有開銷都計入企業(yè)A云賬號名下。
  • 企業(yè)A隨時可以撤銷用戶賬號的權(quán)限,也可以隨時刪除其創(chuàng)建的用戶賬號。

此種場景下,A的云賬號可以將需要員工進(jìn)行操作的資源進(jìn)行細(xì)粒度的權(quán)限分隔。

方式一:在用戶頁面為RAM用戶授權(quán)

  1. 使用阿里云賬號登錄RAM控制臺
  2. 在左側(cè)導(dǎo)航欄,選擇身份管理 > 用戶
  3. 用戶頁面,單擊目標(biāo)RAM用戶操作列的添加權(quán)限
  4. 添加權(quán)限面板,為RAM用戶添加權(quán)限。
    1. 選擇授權(quán)應(yīng)用范圍。
      • 整個云賬號:權(quán)限在當(dāng)前阿里云賬號內(nèi)生效。
      • 指定資源組:權(quán)限在指定的資源組內(nèi)生效。
        說明 指定資源組授權(quán)生效的前提是該云服務(wù)已支持資源組。更多信息,請參見支持資源組的云服務(wù)
    2. 輸入授權(quán)主體。
      授權(quán)主體即需要授權(quán)的RAM用戶,系統(tǒng)會自動填入當(dāng)前的RAM用戶,您也可以添加其他RAM用戶。
    3. 選擇權(quán)限策略。
      說明 每次最多綁定5條策略,如需綁定更多策略,請分次操作。
  5. 單擊確定
  6. 單擊完成

方式二:在授權(quán)頁面為RAM用戶授權(quán)

  1. 使用阿里云賬號登錄RAM控制臺
  2. 在左側(cè)導(dǎo)航欄,選擇權(quán)限管理 > 授權(quán)
  3. 授權(quán)頁面,單擊新增授權(quán)
  4. 新增授權(quán)頁面,為RAM用戶添加權(quán)限。
    1. 選擇授權(quán)應(yīng)用范圍。
      • 整個云賬號:權(quán)限在當(dāng)前阿里云賬號內(nèi)生效。
      • 指定資源組:權(quán)限在指定的資源組內(nèi)生效。
        說明 指定資源組授權(quán)生效的前提是該云服務(wù)已支持資源組。更多信息,請參見支持資源組的云服務(wù)
    2. 輸入授權(quán)主體。
      授權(quán)主體即需要授權(quán)的RAM用戶。
    3. 選擇權(quán)限策略。
      說明 每次最多綁定5條策略,如需綁定更多策略,請分次操作。
  5. 單擊確定
  6. 單擊完成

更多信息

什么是RAM

后續(xù)步驟

使用阿里云賬號(主賬號)創(chuàng)建好RAM用戶后,即可將RAM用戶的登錄名稱及密碼或者AccessKey信息分發(fā)給其他用戶。其他用戶可以按照以下步驟使用RAM用戶登錄控制臺或調(diào)API。
  • 登錄控制臺。
    1. 在瀏覽器中打開RAM用戶登錄入口
    2. RAM用戶登錄頁面上,輸入RAM用戶登錄名稱,單擊下一步,并輸入RAM用戶密碼,然后單擊登錄
      說明 RAM用戶登錄名稱的格式為<$username>@<$AccountAlias><$username>@<$AccountAlias>.onaliyun.com<$AccountAlias>為賬號別名,如果沒有設(shè)置賬號別名,則默認(rèn)值為阿里云賬號(主賬號)的ID。
    3. 在阿里云控制臺頁面上單擊有權(quán)限的產(chǎn)品,即可訪問控制臺。
  • 使用RAM用戶的AccessKey調(diào)用API。

    在代碼中使用RAM用戶的AccessKeyId和AccessKeySecret即可。