IMS-身份管理
|
功能集 |
功能 |
功能描述 |
參考文檔 |
|
RAM用戶管理 |
創建RAM用戶 |
為阿里云賬號(主賬號)創建RAM用戶并為其授權,實現不同RAM用戶擁有不同資源訪問權限的目的。 |
創建RAM用戶 |
|
修改RAM用戶基本信息 |
修改RAM用戶基本信息,包括用戶名和顯示名稱等信息。 |
修改RAM用戶基本信息 | |
|
管理RAM用戶登錄設置 |
為RAM用戶啟用控制臺登錄,查看、修改或清空控制臺登錄設置。 |
管理RAM用戶登錄設置 | |
|
管理RAM用戶的MFA |
多因素認證MFA(Multi Factor Authentication)是一種簡單有效的安全實踐,在用戶名和密碼之外再增加一層安全保護,用于登錄控制臺或進行敏感操作時的二次身份驗證(不影響通過AccessKey的API調用),以此保護您的賬號更安全。 |
||
|
管理RAM用戶的標簽 |
為RAM用戶綁定標簽,便于基于標簽的RAM用戶管理。 |
為RAM用戶綁定標簽 | |
|
AccessKey管理 |
創建AccessKey |
為RAM用戶或阿里云賬號(主賬號)創建AccessKey。訪問密鑰AccessKey(簡稱AK)是阿里云提供給用戶的永久訪問憑據,一組由AccessKey ID和AccessKey Secret組成的密鑰對。 |
創建AccessKey |
|
刪除AccessKey |
當RAM用戶不再需要通過API或其他開發工具訪問阿里云資源時,可以刪除該RAM用戶的訪問密鑰(AccessKey)。 |
刪除RAM用戶的AccessKey | |
|
禁用AccessKey |
當RAM用戶權限發生變化或不再需要通過API訪問阿里云資源時,可以禁用該RAM用戶的訪問密鑰(AccessKey)。 |
禁用RAM用戶的AccessKey | |
|
RAM用戶組管理 |
創建RAM用戶組 |
如果阿里云賬號(主賬號)下有多個RAM用戶,可以通過創建RAM用戶組對職責相同的RAM用戶進行分類并授權,從而更好地管理RAM用戶及其權限。 |
創建RAM用戶組 |
|
刪除RAM用戶組 |
當不再需要某個RAM用戶組時,可以刪除該RAM用戶組。 |
刪除RAM用戶組 | |
|
管理RAM用戶組 |
為RAM用戶組添加、移除RAM用戶,查看、修改RAM用戶組基本信息,為RAM用戶組進行授權、查看權限、移除權限。 |
||
|
全局設置 |
設置RAM用戶密碼規則 |
為了保護賬號安全,可以編輯密碼規則,包括密碼長度、密碼有效期和歷史密碼檢查策略等。 |
設置RAM用戶的密碼強度規則 |
|
管理RAM用戶安全設置 |
通過修改RAM用戶安全設置,提升RAM用戶的賬號安全性。RAM用戶安全設置為全局設置,設置的規則適用所有RAM用戶。 |
管理RAM用戶安全設置 | |
|
管理域名 |
每個阿里云賬號都有一個默認域名,RAM用戶登錄控制臺時可以使用該默認域名作為登錄用戶名的后綴。您可以對默認域名進行查看、修改等操作。 |
查看和修改默認域名 | |
|
身份集成 |
用戶SSO單點登錄 |
支持阿里云與企業身份提供商IdP(Identity Provider)進行用戶SSO,使用企業IdP中的賬號登錄阿里云。 |
用戶SSO概覽 |
|
角色SSO單點登錄 |
支持阿里云與企業身份提供商IdP(Identity Provider)進行角色SSO,使用企業IdP中的賬號登錄阿里云。 |
||
|
SCIM用戶同步 |
企業上云的過程中,為減少維護和管理成本,需要基于一套原則將企業內部系統中已有的賬號同步到云上。阿里云可以通過SCIM協議將企業內部賬號同步到RAM。 |
通過SCIM協議將企業內部賬號同步到阿里云RAM | |
|
身份審計 |
身份權限治理報告 |
為您提供身份權限治理檢測報告,以幫助您及時發現治理缺失,完善云上身份權限治理的配置。 |
獲取身份權限治理檢測報告 |
|
用戶憑證報告 |
為您提供用戶憑證報告,報告中包含阿里云賬號和RAM用戶的登錄憑證信息,您可以使用該報告進行合規性審計。 |
獲取用戶憑證報告 | |
|
控制臺登錄 |
RAM用戶登錄控制臺 |
RAM用戶登錄阿里云控制臺。 |
RAM用戶登錄阿里云控制臺 |
|
MFA認證 |
如果開啟了多因素認證(MFA),則需要輸入虛擬MFA設備生成的驗證碼,或通過U2F安全密鑰認證。 |
||
|
釘釘掃碼登錄 |
為RAM用戶綁定釘釘賬號后,RAM用戶可以使用該釘釘賬號登錄阿里云。 |
||
|
釘釘小程序免登 |
支持自動登錄釘釘小程序。 |
在釘釘移動端一鍵登錄阿里云 | |
|
OAuth應用管理 |
創建應用 |
通過OAuth來創建Web應用、Native應用或Server應用,從而獲取用戶信息或訪問阿里云API。 |
創建應用 |
|
管理應用密鑰 |
如果應用需要訪問阿里云API,需要創建應用密鑰用作換取訪問令牌時鑒定應用身份的密碼。 |
創建應用密鑰 | |
|
管理應用授權 |
當用戶(阿里云賬號或RAM用戶)首次訪問第三方應用時,需要完成第三方應用的授權。 |
管理第三方應用授權 | |
|
刪除應用 |
如果不再需要使用應用獲取用戶信息或訪問阿里云API,可以刪除應用。刪除應用后,企業用戶將不能正常登錄。 |
刪除應用 | |
|
查詢應用基本信息 |
查看應用基本信息,包括應用名稱、顯示名稱和應用類型等信息。 |
查看應用基本信息 |
云SSO
|
功能集 |
功能 |
功能描述 |
參考文檔 |
|
目錄管理 |
創建目錄 |
目錄是SSO的實例,使用云SSO必須先創建一個目錄,所有云SSO資源都必須在目錄中維護。 |
創建目錄 |
|
查看目錄 |
創建目錄后,在云SSO控制臺即可查看目錄。 |
||
|
修改目錄名稱 |
您可以修改目錄名稱,但目錄名稱必須全局唯一。 |
修改目錄名稱 | |
|
刪除目錄 |
當您不需要目錄時,可以刪除該目錄。 |
刪除目錄 | |
|
用戶管理 |
創建用戶 |
創建云SSO用戶。 |
創建用戶 |
|
查看用戶信息 |
查看云SSO用戶信息。 |
查看用戶信息 | |
|
修改用戶信息 |
修改云SSO用戶基本信息。 |
修改用戶基本信息 | |
|
刪除用戶 |
刪除云SSO用戶。 |
刪除用戶 | |
|
用戶組管理 |
創建用戶組 |
創建用戶組。 |
創建用戶組 |
|
查看用戶組信息 |
查看用戶組信息。 |
查看用戶組信息 | |
|
修改用戶組信息 |
修改用戶組基本信息。 |
修改用戶組基本信息 | |
|
管理用戶組成員 |
為用戶組添加、移除用戶。 |
||
|
查看用戶組成員 |
查看用戶組中的用戶。 |
查看用戶組信息 | |
|
訪問配置管理 |
創建訪問配置 |
在云SSO中創建訪問配置。訪問配置是云SSO用戶用來訪問RD賬號的配置模板,其中包含權限配置。 |
創建訪問配置 |
|
查看訪問配置 |
查看訪問配置的信息,包括訪問配置基本信息、系統策略、內置策略和已部署的RD賬號。 |
查看訪問配置 | |
|
修改訪問配置信息 |
修改訪問配置基本信息,包括會話持續時間、初始訪問頁面和描述。 |
修改訪問配置基本信息 | |
|
刪除訪問配置 |
在云SSO中刪除訪問配置。 |
刪除訪問配置 | |
|
管理訪問配置權限策略 |
管理系統策略和內置策略。 |
管理系統策略和內置策略 | |
|
部署訪問配置 |
如果訪問配置已經部署在RD賬號中,當訪問配置發生了變更,這些變更不會自動更新到對應的RD賬號中,需要您手動重新部署才能使其生效。您也可以主動解除訪問配置在一個RD賬號中的部署。 |
||
|
多賬號授權 |
在RD賬號上授權 |
根據RD目錄結構,您可以為每個RD賬號設置允許訪問的用戶或用戶組,以及他們的訪問權限(訪問配置)。 |
在RD賬號上授權 |
|
查看RD賬號的授權信息 |
查看RD賬號的授權信息,包括RD賬號基本信息、關聯的用戶或用戶組、部署的訪問配置、配置的RAM用戶同步信息。 |
查看RD賬號的授權信息 | |
|
修改RD賬號的授權 |
針對已有的RD賬號授權,可以重新指定用戶、用戶組和訪問配置。 |
修改RD賬號的授權 | |
|
移除RD賬號的授權 |
移除用戶或用戶組在RD賬號上的授權。 |
移除RD賬號的授權 | |
|
RAM用戶同步 |
配置RAM用戶同步 |
配置RAM用戶同步,在目標RD賬號中同步創建一個與云SSO用戶同名的RAM用戶,然后通過該RAM用戶訪問該RD賬號中的資源。 |
配置RAM用戶同步 |
|
查看RAM用戶同步詳情 |
查看RAM用戶同步詳情,包含RAM用戶同步基本信息和同步進展。 |
查看RAM用戶同步詳情 | |
|
修改RAM用戶同步 |
根據需要,修改RAM用戶同步的描述、沖突策略和刪除策略。 |
修改RAM用戶同步 | |
|
刪除RAM用戶同步 |
對于不需要的RAM用戶同步,可以將其刪除。 |
刪除RAM用戶同步 | |
|
查看RAM用戶同步事件 |
查看執行失敗的RAM用戶同步事件。 |
查看RAM用戶同步事件 | |
|
RAM用戶同步全局設置 |
全局設置RAM用戶同步配置。 |
||
|
用戶登錄設置 |
管理MFA |
多因素認證MFA是一種簡單有效的最佳安全實踐,在用戶名和密碼之外再額外增加一層安全保護,用于登錄控制臺時的二次身份驗證,以此保護您的賬號更安全。 |
管理MFA |
|
設置密碼策略 |
為了保護云SSO用戶的賬號安全,您可以設置密碼策略,包括密碼長度、密碼有效期和密碼重試次數等。 |
設置密碼策略 | |
|
設置登錄方式 |
設置云SSO用戶的登錄方式,包括用戶名密碼登錄和單點登錄(SSO登錄)。 |
設置登錄方式 | |
|
管理單點登錄 |
通過單點登錄(SSO登錄),企業員工可以使用IdP中的用戶身份直接登錄云SSO。 |
管理單點登錄 | |
|
管理SCIM同步 |
您可以從支持SCIM 2.0的外部IdP同步用戶或用戶組到云SSO。 |
啟用或禁用SCIM同步 | |
|
管理SCIM用戶同步密鑰 |
SCIM同步過程中需要使用SCIM密鑰。您可以創建、禁用、啟用、刪除和輪轉SCIM密鑰。 |
管理SCIM密鑰 | |
|
SCIM用戶同步設置 |
啟用或禁用SCIM用戶同步 |
您可以從支持SCIM2.0的外部IdP同步用戶或用戶組到云SSO。云SSO可以啟用SCIM同步、獲取SCIM服務端地址、禁用SCIM同步。 |
啟用或禁用SCIM同步 |
|
管理SCIM同步密鑰 |
SCIM同步過程中需要使用SCIM密鑰。您可以創建、禁用、啟用、刪除和輪轉SCIM密鑰。 |
管理SCIM密鑰 | |
|
委派管理賬號 |
指定委派管理賬號 |
添加和啟用云SSO委派管理員賬號后,云SSO委派管理員賬號將獲得云SSO管理員的授權,可以管理云SSO。 |
添加和啟用委派管理員賬號 |
|
撤銷委派管理賬號 |
禁用或移除云SSO委派管理員賬號后,將不能通過該賬號管理云SSO。 |
禁用或移除委派管理員賬號 | |
|
程序訪問 |
CLI訪問 |
云SSO已與阿里云CLI進行了集成。用戶除了使用瀏覽器登錄云SSO用戶門戶,也可以通過阿里云CLI登錄。登錄后,選擇對應RD賬號和權限,通過CLI命令行訪問阿里云資源。 |
使用CLI登錄云SSO并訪問阿里云資源 |
|
獲取程序訪問憑證 |
云SSO用戶可以使用程序訪問臨時憑證(STS Token)通過阿里云CLI或SDK訪問RD賬號中的資源。 |
獲取云SSO用戶的程序訪問臨時憑證 | |
|
用戶登錄 |
登錄到RAM角色 |
對于支持RAM角色的云服務,且在云SSO中通過訪問配置設置了訪問權限,就可以通過RAM角色訪問RD賬號資源。 |
登錄云SSO用戶門戶并訪問阿里云資源 |
|
登錄到RAM用戶 |
對于不支持RAM角色的云服務,且在云SSO中配置了RAM用戶同步,就可以通過RAM用戶訪問RD賬號資源。 |
登錄云SSO用戶門戶并訪問阿里云資源 |
RAM-權限管理
|
功能集 |
功能 |
功能描述 |
參考文檔 |
|
權限策略管理 |
創建權限策略 |
您可以創建自定義權限策略,實現精細化權限管理。 |
創建自定義權限策略 |
|
查詢權限策略 |
您可以查看權限策略的基本信息,包括權限策略名稱、備注和策略類型等。 |
查看權限策略基本信息 | |
|
編輯權限策略 |
您可以根據需要修改自定義權限策略內容和備注,不能修改權限策略名稱。 |
修改自定義權限策略內容和備注 | |
|
刪除權限策略 |
當權限發生變化或不再需要某個自定義權限策略時,您可以刪除自定義權限策略。 |
刪除自定義權限策略 | |
|
授權管理 |
添加RAM身份權限 |
為RAM身份授予RAM的系統策略或自定義策略后,RAM身份就能以策略中對應的權限訪問阿里云資源。建議您遵循最小化原則,按需授予RAM身份必要的權限。 |
|
|
查看RAM身份的權限 |
您可以查看RAM身份的權限策略,RAM身份包含RAM用戶、RAM用戶組、RAM角色。 |
||
|
移除RAM身份權限 |
當RAM身份不再需要某些權限或離開組織時,可以將這些權限移除。 |
||
|
權限報錯與診斷 |
無權限診斷 |
您可以從因無RAM權限導致的請求被拒絕訪問的響應體中解碼無權限診斷信息。 |
|
|
權限審計 |
查詢RAM身份的權限訪問信息 |
權限審計功能可以幫助您識別RAM身份所擁有的權限,以及權限的最近訪問時間。 |
權限審計概覽 |
RAM-角色管理
|
功能集 |
功能 |
功能描述 |
參考文檔 |
|
RAM角色管理 |
創建RAM角色 |
支持創建可信實體為阿里云賬號、阿里云服務、身份提供商的RAM角色。 |
創建RAM角色 |
|
查詢RAM角色 |
查看RAM角色基本信息,包括角色基本信息、角色的權限策略和角色的信任策略。 |
查看RAM角色 | |
|
修改RAM角色 |
通過修改RAM角色的信任策略內容,可以修改RAM角色的可信實體。 |
修改RAM角色的信任策略 | |
|
刪除RAM角色 |
當您不再需要某個RAM角色時,可以刪除該RAM角色。 |
刪除RAM角色 | |
|
RAM角色使用 |
扮演角色 |
通過控制臺和API扮演可信實體為阿里云賬號的RAM角色。 |