概念

說(shuō)明

阿里云賬號(hào)（Alibaba Cloud account）

開(kāi)始使用阿里云服務(wù)前，首先需要注冊(cè)一個(gè)阿里云賬號(hào)。阿里云賬號(hào)是阿里云資源歸屬、資源使用計(jì)量計(jì)費(fèi)的基本主體。阿里云賬號(hào)為其名下所擁有的資源付費(fèi)，并對(duì)其名下所有資源擁有完全控制權(quán)限。

默認(rèn)情況下，資源只能被阿里云賬號(hào)所訪問(wèn)，任何其他用戶訪問(wèn)都需要獲得阿里云賬號(hào)的顯式授權(quán)。阿里云賬號(hào)就是操作系統(tǒng)的root或Administrator，所以我們有時(shí)稱它為根賬號(hào)或主賬號(hào)。

為確保阿里云賬號(hào)的安全，如非必要，避免使用阿里云賬號(hào)登錄控制臺(tái)以及為其創(chuàng)建訪問(wèn)密鑰（AccessKey）。推薦您在阿里云賬號(hào)下創(chuàng)建一個(gè)RAM用戶，并授予管理員權(quán)限，后續(xù)使用該RAM用戶執(zhí)行管理操作。

賬號(hào)管理員

賬號(hào)管理員具備賬號(hào)下所有資源的管理權(quán)限。賬號(hào)管理員可以是阿里云賬號(hào)（主賬號(hào)），也可以是主賬號(hào)下?lián)碛蠥dministratorAccess權(quán)限的RAM用戶，強(qiáng)烈推薦您使用RAM用戶充當(dāng)賬號(hào)管理員。更多信息，請(qǐng)參見(jiàn)創(chuàng)建賬號(hào)管理員。

RAM管理員

RAM管理員具備賬號(hào)下RAM資源的管理權(quán)限。RAM管理員可以是阿里云賬號(hào)（主賬號(hào)），也可以是主賬號(hào)下?lián)碛蠥liyunRAMFullAccess權(quán)限的RAM用戶，強(qiáng)烈推薦您使用RAM用戶充當(dāng)RAM管理員。

身份（Identity）

訪問(wèn)控制（RAM）中有三種身份：RAM用戶、用戶組和RAM角色。其中RAM用戶和用戶組是RAM的一種實(shí)體身份類(lèi)型，RAM角色是一種虛擬用戶身份。

默認(rèn)域名（Default domain name）

阿里云為每個(gè)阿里云賬號(hào)分配了一個(gè)默認(rèn)域名，格式為<AccountAlias>.onaliyun.com，其中<AccountAlias>表示賬號(hào)別名。默認(rèn)域名可作為RAM用戶登錄或單點(diǎn)登錄（SSO）等場(chǎng)景下該阿里云賬號(hào)的唯一標(biāo)識(shí)符。

關(guān)于如何設(shè)置默認(rèn)域名，請(qǐng)參見(jiàn)查看和修改默認(rèn)域名。

賬號(hào)別名（Account alias）

賬號(hào)別名也叫企業(yè)別名，賬號(hào)別名的默認(rèn)值為阿里云賬號(hào)ID<AccountID>。賬號(hào)別名即默認(rèn)域名中的<AccountAlias>，在設(shè)置默認(rèn)域名時(shí)，相當(dāng)于設(shè)置賬號(hào)別名。在用于RAM用戶登錄時(shí)，賬號(hào)別名和默認(rèn)域名等價(jià)，使用任何一個(gè)均可完成登錄。

例如：企業(yè)可以為其阿里云賬號(hào)設(shè)置賬號(hào)別名為：company1，該阿里云賬號(hào)下的RAM用戶alice可以使用alice@company1登錄阿里云控制臺(tái)。

關(guān)于如何設(shè)置賬號(hào)別名，請(qǐng)參見(jiàn)查看和修改默認(rèn)域名。

域別名（Domain alias）

如果您持有公網(wǎng)上可以解析的域名，那么您可以使用該域名替代您的默認(rèn)域名，該域名稱為域別名。域別名就是指默認(rèn)域名的別名。

關(guān)于如何設(shè)置域別名，請(qǐng)參見(jiàn)創(chuàng)建并驗(yàn)證域別名。

RAM用戶（RAM user）

RAM用戶也叫RAM賬號(hào)，是RAM的一種實(shí)體身份類(lèi)型，有確定的身份ID和身份憑證，它通常與某個(gè)確定的人或應(yīng)用程序一一對(duì)應(yīng)。RAM用戶具備以下特點(diǎn)：

• 一個(gè)阿里云賬號(hào)下可以創(chuàng)建多個(gè)RAM用戶，對(duì)應(yīng)企業(yè)內(nèi)的員工、系統(tǒng)或應(yīng)用程序。

• RAM用戶不擁有資源，不能獨(dú)立計(jì)量計(jì)費(fèi)，由所屬阿里云賬號(hào)統(tǒng)一控制和付費(fèi)。

• RAM用戶歸屬于阿里云賬號(hào)，只能在所屬阿里云賬號(hào)的空間下可見(jiàn)，而不是獨(dú)立的阿里云賬號(hào)。

• RAM用戶必須在獲得阿里云賬號(hào)的授權(quán)后才能登錄控制臺(tái)或使用API操作阿里云賬號(hào)下的資源。

關(guān)于如何創(chuàng)建RAM用戶，請(qǐng)參見(jiàn)創(chuàng)建RAM用戶。

登錄密碼（Password）

登錄密碼是登錄阿里云的身份憑證，用于證明用戶真實(shí)身份的憑證。

關(guān)于如何設(shè)置RAM用戶的登錄密碼，請(qǐng)參見(jiàn)修改RAM用戶登錄密碼。

訪問(wèn)密鑰（AccessKey）

訪問(wèn)密鑰AccessKey（簡(jiǎn)稱AK）是阿里云提供給用戶的永久訪問(wèn)憑據(jù)，一組由AccessKey ID和AccessKey Secret組成的密鑰對(duì)。

• AccessKey ID：用于標(biāo)識(shí)用戶。

• AccessKey Secret：是一個(gè)用于驗(yàn)證您擁有該AccessKey ID的密碼。

AccessKey ID和AccessKey Secret根據(jù)算法由訪問(wèn)控制（RAM）生成，阿里云對(duì)AccessKey ID和AccessKey Secret的存儲(chǔ)及傳輸均進(jìn)行加密。

AccessKey不用于控制臺(tái)登錄，用于通過(guò)開(kāi)發(fā)工具（API、CLI、SDK、Terraform等）訪問(wèn)阿里云時(shí)，發(fā)起的請(qǐng)求會(huì)攜帶AccessKey ID和AccessKey Secret加密請(qǐng)求內(nèi)容生成的簽名，進(jìn)行身份驗(yàn)證及請(qǐng)求合法性校驗(yàn)。

關(guān)于如何創(chuàng)建訪問(wèn)密鑰，請(qǐng)參見(jiàn)創(chuàng)建AccessKey。

多因素認(rèn)證（MFA）

多因素認(rèn)證是一種簡(jiǎn)單有效的最佳安全實(shí)踐，在用戶名和密碼之外再增加一層安全保護(hù)。這些要素結(jié)合起來(lái)將為您的賬號(hào)提供更高的安全保護(hù)。啟用多因素認(rèn)證后，再次登錄阿里云時(shí)，系統(tǒng)將要求輸入兩層安全要素：

1. 第一層安全要素：輸入用戶名和密碼。

2. 第二層安全要素：輸入虛擬MFA設(shè)備生成的驗(yàn)證碼，或通過(guò)U2F安全密鑰認(rèn)證。

關(guān)于如何設(shè)置多因素認(rèn)證，請(qǐng)參見(jiàn)為阿里云賬號(hào)綁定MFA設(shè)備和為RAM用戶綁定MFA設(shè)備。

用戶組（RAM user group）

用戶組是RAM的一種實(shí)體身份類(lèi)型，用戶組可以對(duì)職責(zé)相同的RAM用戶進(jìn)行分類(lèi)并授權(quán)，從而更好地管理用戶及其權(quán)限。

• 在RAM用戶職責(zé)發(fā)生變化時(shí)，只需將其移動(dòng)到相應(yīng)職責(zé)的用戶組下，不會(huì)對(duì)其他RAM用戶產(chǎn)生影響。

  關(guān)于如何創(chuàng)建用戶組，請(qǐng)參見(jiàn)創(chuàng)建RAM用戶組。

• 當(dāng)用戶組的權(quán)限發(fā)生變化時(shí)，只需修改用戶組的權(quán)限策略，即可應(yīng)用到所有RAM用戶。

  關(guān)于如何為用戶組授權(quán)，請(qǐng)參見(jiàn)為RAM用戶組授權(quán)。

RAM角色（RAM role）

RAM角色是一種虛擬用戶，可以被授予一組權(quán)限策略。與RAM用戶不同，RAM角色沒(méi)有永久身份憑證（登錄密碼或訪問(wèn)密鑰），需要被一個(gè)可信實(shí)體扮演。扮演成功后，可信實(shí)體將獲得RAM角色的臨時(shí)身份憑證，即安全令牌（STS Token），使用該安全令牌就能以RAM角色身份訪問(wèn)被授權(quán)的資源。

根據(jù)不同的可信實(shí)體類(lèi)型，RAM角色分為以下幾種：

• 可信實(shí)體為阿里云賬號(hào)的RAM角色：該角色主要用于解決跨賬號(hào)訪問(wèn)和臨時(shí)授權(quán)問(wèn)題，僅允許可信阿里云賬號(hào)下的RAM用戶扮演。可信阿里云賬號(hào)既可以是當(dāng)前賬號(hào)，也可以是其他賬號(hào)。具體操作，請(qǐng)參見(jiàn)創(chuàng)建可信實(shí)體為阿里云賬號(hào)的RAM角色。

• 可信實(shí)體為阿里云服務(wù)的RAM角色：該角色主要用于解決跨云服務(wù)授權(quán)訪問(wèn)的問(wèn)題，僅允許可信云服務(wù)扮演。具體操作，請(qǐng)參見(jiàn)創(chuàng)建可信實(shí)體為阿里云服務(wù)的RAM角色和服務(wù)關(guān)聯(lián)角色。

• 可信實(shí)體為身份提供商的RAM角色：該角色主要用于實(shí)現(xiàn)與阿里云的單點(diǎn)登錄（SSO），僅允許可信身份提供商下的用戶扮演。具體操作，請(qǐng)參見(jiàn)創(chuàng)建可信實(shí)體為身份提供商的RAM角色。

服務(wù)提供商（SP）

利用IdP的身份管理功能，為用戶提供具體服務(wù)的應(yīng)用。SP會(huì)使用IdP提供的用戶信息。一些非SAML協(xié)議的身份系統(tǒng)（例如：OpenID Connect），也把服務(wù)提供商稱作IdP的信賴方。

身份提供商（IdP）

一個(gè)包含有關(guān)外部身份提供商元數(shù)據(jù)的RAM實(shí)體，身份提供商可以提供身份管理服務(wù)。

• 企業(yè)本地IdP：Microsoft Active Directory Federation Service（AD FS）以及Shibboleth等。

• Cloud IdP：Azure AD、Google Workspace、Okta以及OneLogin等。

安全斷言標(biāo)記語(yǔ)言（SAML 2.0）

實(shí)現(xiàn)企業(yè)級(jí)用戶身份認(rèn)證的標(biāo)準(zhǔn)協(xié)議，它是SP和IdP之間實(shí)現(xiàn)溝通的技術(shù)實(shí)現(xiàn)方式之一。SAML 2.0已經(jīng)是目前實(shí)現(xiàn)企業(yè)級(jí)SSO的一種事實(shí)標(biāo)準(zhǔn)。

單點(diǎn)登錄（SSO）

阿里云支持基于SAML 2.0和OIDC的SSO（Single Sign On，單點(diǎn)登錄），也稱為身份聯(lián)合登錄。阿里云提供以下兩種SSO方式：

• 用戶SSO

  阿里云通過(guò)IdP頒發(fā)的SAML斷言確定企業(yè)用戶與阿里云RAM用戶的對(duì)應(yīng)關(guān)系 。企業(yè)用戶登錄后，使用該RAM用戶訪問(wèn)阿里云資源。更多信息，請(qǐng)參見(jiàn)用戶SSO概覽。

• 角色SSO

  支持基于SAML 2.0和OIDC的兩種角色SSO：

  • SAML角色SSO：阿里云通過(guò)IdP頒發(fā)的SAML斷言確定企業(yè)用戶在阿里云上可以使用的RAM角色。企業(yè)用戶登錄后，使用SAML斷言中指定的RAM角色訪問(wèn)阿里云資源。請(qǐng)參見(jiàn)SAML角色SSO概覽。

  • OIDC角色SSO：企業(yè)用戶通過(guò)IdP簽發(fā)的OIDC令牌（OIDC Token），調(diào)用阿里云API扮演指定角色并換取角色臨時(shí)身份憑證（STS Token），然后使用STS Token安全地訪問(wèn)阿里云資源。更多信息，請(qǐng)參見(jiàn)OIDC角色SSO概覽。

元數(shù)據(jù)文檔（Metadata file）

元數(shù)據(jù)文檔由企業(yè)IdP提供，一般為XML格式，包含IdP的登錄服務(wù)地址、用于驗(yàn)證簽名的公鑰及斷言格式等信息。

SAML斷言（SAML assertion）

SAML協(xié)議中用于描述認(rèn)證請(qǐng)求和認(rèn)證響應(yīng)的核心元素。例如：用戶的具體屬性就包含在認(rèn)證響應(yīng)的斷言里。

信賴（Trust）

建立在SP和IdP之間的互信機(jī)制，通常由公鑰和私鑰來(lái)實(shí)現(xiàn)。SP通過(guò)可信的方式獲取IdP的SAML元數(shù)據(jù)，元數(shù)據(jù)中包含IdP簽發(fā)SAML斷言的簽名驗(yàn)證公鑰，SP則使用公鑰來(lái)驗(yàn)證斷言的完整性。

阿里云OAuth 2.0服務(wù)（Alibaba Cloud OAuth 2.0 service）

對(duì)用戶進(jìn)行認(rèn)證，接受用戶對(duì)應(yīng)用的授權(quán)，生成代表用戶身份的令牌并返回給被授權(quán)的應(yīng)用。

OAuth應(yīng)用（OAuth application）

獲取用戶授權(quán)，并獲取代表用戶身份的令牌，從而可以訪問(wèn)阿里云。

OAuth 2.0服務(wù)目前支持的應(yīng)用類(lèi)型包括：

• WebApp：指基于瀏覽器交互的網(wǎng)絡(luò)應(yīng)用。

• NativeApp：指操作系統(tǒng)中運(yùn)行的本地應(yīng)用，主要為運(yùn)行在桌面操作系統(tǒng)或移動(dòng)操作系統(tǒng)中的應(yīng)用。

• ServerApp：指直接訪問(wèn)阿里云服務(wù)，而無(wú)需依賴用戶登錄的應(yīng)用，目前僅支持基于SCIM協(xié)議的用戶同步應(yīng)用。

OAuth范圍（Scope）

OAuth 2.0服務(wù)通過(guò)OAuth范圍來(lái)限定應(yīng)用扮演用戶登錄阿里云后可以訪問(wèn)的范圍。

概念

說(shuō)明

權(quán)限（Permission）

權(quán)限是指是否允許用戶對(duì)某種資源執(zhí)行某種操作，權(quán)限分為：允許（Allow）或拒絕（Deny）。

操作分為兩大類(lèi)：

• 資源管控操作：指云資源的生命周期管理及運(yùn)維管理操作，所面向的用戶一般是資源購(gòu)買(mǎi)者或組織內(nèi)的運(yùn)維員工。例如：ECS實(shí)例的創(chuàng)建、停止或重啟，OSS存儲(chǔ)空間的創(chuàng)建、修改或刪除等。

• 資源使用操作：指使用資源的核心功能，所面向的用戶一般是組織內(nèi)的研發(fā)員工或應(yīng)用系統(tǒng)。例如：ECS實(shí)例操作系統(tǒng)中的用戶操作，OSS存儲(chǔ)空間的數(shù)據(jù)上傳或下載。

  說(shuō)明

  • 對(duì)于彈性計(jì)算和數(shù)據(jù)庫(kù)等產(chǎn)品，資源管控操作可以通過(guò)RAM來(lái)管理，而資源使用操作是在每個(gè)產(chǎn)品的實(shí)例內(nèi)進(jìn)行管理。例如：ECS實(shí)例操作系統(tǒng)的權(quán)限控制或MySQL數(shù)據(jù)庫(kù)提供的權(quán)限控制。

  • 對(duì)于存儲(chǔ)類(lèi)等產(chǎn)品，例如：OSS或Table Store等，資源管控操作和資源使用操作都可以通過(guò)RAM來(lái)實(shí)現(xiàn)。

權(quán)限策略（Policy）

權(quán)限策略是用語(yǔ)法結(jié)構(gòu)描述的一組權(quán)限的集合，可以精確地描述被授權(quán)的資源集、操作集以及授權(quán)條件。權(quán)限策略是描述權(quán)限集的一種簡(jiǎn)單語(yǔ)言規(guī)范。關(guān)于RAM支持的語(yǔ)言規(guī)范，請(qǐng)參見(jiàn)權(quán)限策略語(yǔ)法和結(jié)構(gòu)。

在RAM中，權(quán)限策略是一種資源實(shí)體。RAM支持以下兩種權(quán)限策略：

• 阿里云管理的系統(tǒng)策略：統(tǒng)一由阿里云創(chuàng)建，用戶只能使用不能修改，策略的版本更新由阿里云維護(hù)。

• 客戶管理的自定義策略：用戶可以自主創(chuàng)建、更新和刪除，策略的版本更新由客戶自己維護(hù)。

通過(guò)為RAM用戶、用戶組或RAM角色綁定權(quán)限策略，可以獲得權(quán)限策略中指定的訪問(wèn)權(quán)限。更多信息，請(qǐng)參見(jiàn)為RAM用戶授權(quán)、為RAM用戶組授權(quán)和為RAM角色授權(quán)。

授權(quán)主體（Principal）

獲得策略中定義的權(quán)限主體，授權(quán)主體可以為RAM用戶、用戶組或RAM角色。

效果（Effect）

權(quán)限策略基本元素之一，表示授權(quán)效果。取值為：允許（Allow）或拒絕（Deny）。

操作（Action）

權(quán)限策略基本元素之一，表示對(duì)具體資源的操作。取值為：云服務(wù)所定義的API操作名稱。

條件（Condition）

權(quán)限策略基本元素之一，表示授權(quán)生效的條件。

資源（Resource）

資源是云服務(wù)呈現(xiàn)給用戶與之交互的對(duì)象實(shí)體的一種抽象，例如：OSS存儲(chǔ)空間或ECS實(shí)例等。

ARN（Aliyun Resource Name）

ARN是阿里云為每個(gè)資源定義的全局資源名稱。在RAM授權(quán)時(shí)，ARN遵循的格式為acs:<ram-code>:<region>:<account-id>:<relative-id>，字段含義如下：

• acs：Alibaba Cloud Service的首字母縮寫(xiě)，表示阿里云的公共云平臺(tái)。

• ram-code：云服務(wù)的RAM代碼。更多信息，請(qǐng)參見(jiàn)支持RAM的云服務(wù)的RAM代碼列。

• region：地域信息。對(duì)于全局資源（無(wú)需指定地域就可以訪問(wèn)的資源），該字段用星號(hào)（*）表示。更多信息，請(qǐng)參見(jiàn)地域和可用區(qū)。

• account-id：阿里云賬號(hào)ID。例如：123456789012****。

• relative-id：與云服務(wù)相關(guān)的資源描述部分，其語(yǔ)義由具體云服務(wù)指定。這部分的格式支持樹(shù)狀結(jié)構(gòu)（類(lèi)似文件路徑）。以O(shè)SS為例，表示一個(gè)OSS對(duì)象的格式為：relative-id = "mybucket/dir1/object1.jpg"。