日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 物聯網平臺 操作指南 權限管理 RAM授權管理 物聯網平臺RAM授權說明

物聯網平臺RAM授權說明

更新時間:
產品詳情
我的收藏

如果您需要團隊或部門成員的精細化控制權限,可為阿里云賬號(主賬號)創建RAM用戶或RAM角色,并為其授予自定義權限策略,避免多用戶共享阿里云賬號(主賬號)密碼或訪問密鑰(AccessKey),降低安全風險。本文介紹物聯網平臺RAM服務的權限策略規則、RAM授權操作(Action)列表,以及如何通過RAM用戶實現精細化授權。

背景信息

RAM和STS介紹和使用場景說明,請參見RAM和STS介紹。相關概念詳細說明,請參見訪問控制的基本概念。

RAM服務說明

服務

說明

RAM云服務名稱

物聯網平臺。

RAM代碼

iot

是否支持在控制臺進行訪問控制

支持。

是否支持通過API進行訪問控制

支持。

授權粒度

操作級別,表示API級別的授權。一個RAM用戶或RAM角色可以對指定云服務的某類資源執行某幾個指定的操作。

系統策略

  • AliyunIOTFullAccess:管理物聯網平臺(IoT)的權限。

  • AliyunIOTReadOnlyAccess:只讀訪問物聯網平臺(IoT)的權限。

  • AliyunIOTConsoleCommonAccess:物聯網平臺控制臺通用權限。

權限策略內容說明

RAM中使用權限策略描述授權的具體內容,權限策略由效果(Effect)、操作(Action)、資源(Resource)、條件(Condition)和授權主體(Principal)等基本元素組成。權限策略的基本元素、語法結構和判定規則的詳細說明,請參見權限策略語言

物聯網平臺授權策略內容中基本元素的配置說明如下。

元素名稱

是否必選

說明

效果(Effect)

授權效果包括兩種:允許(Allow)和拒絕(Deny)。

說明

當權限策略中既有Allow又有Deny時,遵循Deny優先原則。

操作(Action)

操作是指對具體資源的操作。

物聯網平臺RAM授權操作代碼格式統一為iot:${API名稱},其中${API名稱}為物聯網平臺操作功能的API名稱,也對應物聯網平臺控制臺操作功能。物聯網平臺公開提供的所有云端API,請參見物聯網平臺云端API列表

在創建物聯網平臺授權策略時,多個Action以英文逗號(,)分隔,支持使用星號(*)通配符。例如iot:Create*Create*通配以Create開頭的API名稱,例如CreateProductCreateThingModel、CreateProductTopic

資源(Resource)

資源是指被授權的具體對象。

目前物聯網平臺不支持資源(例如產品或設備)粒度的授權,只支持API維度的授權,授權時,Resource只能設置為*。

條件(Condition)

條件是指授權生效的條件。

目前物聯網平臺不支持使用Condition。

RAM授權操作(Action)列表

您創建自定義權限策略時,需要指定具體的授權操作。物聯網平臺基于API操作授權,對應API名稱及操作功能的詳細內容,請參見物聯網平臺公開提供的所有云端API列表。RAM授權操作(Action)格式為iot:${API名稱},下表列出物聯網平臺公開API的Action示例,及未公開API對應操作功能的Action。

API名稱或操作功能

RAM授權操作(Action)

資源 (Resource)

接口說明

CreateProduct

iot:CreateProduct

*

創建產品。

DeleteConsumerGroupSubscribeRelation

iot:DeleteConsumerGroupSubscribeRelation

*

從AMQP訂閱中的多個消費組移除指定消費組。

配置AMQP服務端訂閱

iot:sub

*

支持AMQP服務端訂閱連接。

重置產品證書密鑰

iot:ResetProductSecret

*

重置產品證書的ProductSecret。

使用指導

  1. 創建賬號管理員

    阿里云賬號(主賬號)對賬號中的資源具有完全管理權限,且無法進行條件限制(例如:訪問來源IP地址、訪問時間等),多人共用時也無法在操作日志中區分出具體使用人,一旦泄露風險極大,強烈建議您不要使用阿里云賬號(主賬號)進行日常運維管理。

    您可以在RAM中創建一個RAM用戶,授予AdministratorAccess權限,充當賬號管理員,該管理員可以對賬號下所有云資源進行管控操作。后續您可以通過該管理員創建多個RAM用戶,進行分權管理。

  2. 創建自定義權限策略。

    RAM提供了兩種權限策略:系統權限策略和自定義權限策略。系統權限策略由阿里云統一提供,不支持修改。如果系統權限策略不能滿足您的授權需求,您可以按需創建自定義權限策略,實現精細化權限管理。

  3. 創建RAM用戶進行授權:

    • 創建單個RAM用戶并授權

      您可以創建RAM用戶并為其授權,實現不同RAM用戶擁有不同資源訪問權限的目的。

      當您的企業存在多用戶協同訪問資源的場景時,使用RAM可以按需為用戶分配最小權限,避免多用戶共享阿里云賬號(主賬號)密碼或訪問密鑰,從而降低企業的安全風險。

    • 創建RAM用戶組并授權

      RAM用戶組是RAM中的一種實體身份類型,RAM用戶組可以對職責相同的RAM用戶進行分類并授權,從而更高效地管理RAM用戶及其權限。

    • 創建RAM角色并授權,然后授予RAM用戶角色扮演權限

      RAM角色是一種虛擬用戶,可以被授予一組權限策略。與RAM用戶不同,RAM角色沒有永久身份憑證(登錄密碼或訪問密鑰),需要被一個可信實體扮演。扮演成功后,可信實體將獲得RAM角色的臨時身份憑證,即安全令牌(STS Token),使用該安全令牌就能以RAM角色身份訪問被授權的資源。

使用示例

常見問題