什么是訪問控制
訪問控制RAM(Resource Access Management)是阿里云提供的管理用戶身份與資源訪問權(quán)限的服務。
前置概念
閱讀本文前,您可能需要了解如下概念:
功能特性
統(tǒng)一管理訪問身份及權(quán)限
集中式訪問控制
集中管理RAM用戶:管理每個RAM用戶及其登錄密碼或訪問密鑰,為RAM用戶綁定多因素認證MFA(Multi Factor Authentication)設備。
集中控制RAM用戶的訪問權(quán)限:控制每個RAM用戶訪問資源的權(quán)限。
集中控制RAM用戶的資源訪問方式:確保RAM用戶在指定的時間和網(wǎng)絡環(huán)境下,通過安全信道訪問特定的阿里云資源。
外部身份集成
單點登錄SSO(Single Sign On):支持阿里云與企業(yè)身份提供商IdP(Identity Provider)進行用戶SSO或角色SSO,使用企業(yè)IdP中的賬號登錄阿里云。
釘釘賬號集成:為RAM用戶綁定一個釘釘賬號,然后就可以使用該釘釘賬號登錄阿里云。
SCIM用戶同步:通過SCIM協(xié)議將企業(yè)內(nèi)部賬號同步到RAM。更多信息,請參見通過SCIM協(xié)議將企業(yè)內(nèi)部賬號同步到阿里云RAM。
精細多元的權(quán)限設置能力
豐富的權(quán)限策略
RAM提供了多種滿足日常運維人員職責所需要的系統(tǒng)權(quán)限策略。如果系統(tǒng)權(quán)限策略不能滿足您的需求,您還可以通過圖形化工具快速地創(chuàng)建自定義權(quán)限策略。
精細的控制粒度
支持在資源級和操作級向RAM用戶、RAM用戶組和RAM角色授予訪問權(quán)限。
支持根據(jù)請求源IP地址、日期時間、資源標簽等條件屬性創(chuàng)建更精細的資源訪問控制策略。
支持指定授權(quán)范圍為整個阿里云賬號或指定資源組。
云SSO實現(xiàn)多賬號統(tǒng)一身份權(quán)限管理
云SSO提供基于阿里云資源目錄RD(Resource Directory)的多賬號統(tǒng)一身份管理與訪問控制。您可以在云SSO中進行一次性統(tǒng)一配置,即可完成面向多個阿里云賬號的身份管理、單點登錄和權(quán)限配置。為了實現(xiàn)這一目標,云SSO提供了獨立于RAM的身份目錄,但其權(quán)限管理復用了RAM中的系統(tǒng)策略和自定義策略語法。此外,云SSO用戶對RD賬號的訪問,本質(zhì)上是云SSO用戶扮演每個RD賬號中的RAM角色進行的再一次單點登錄。
免費使用
RAM為免費產(chǎn)品,經(jīng)過實名認證的阿里云賬號可以直接使用,不收取任何費用。
產(chǎn)品優(yōu)勢
使用RAM,您可以創(chuàng)建、管理RAM用戶(例如員工、系統(tǒng)或應用程序),并可以控制這些RAM用戶對資源的操作權(quán)限。當您的企業(yè)存在多用戶協(xié)同操作資源的場景時,RAM可以讓您避免與其他用戶共享阿里云賬號密鑰,按需為用戶分配最小權(quán)限,從而降低企業(yè)的信息安全風險。
應用場景
應用場景 | 描述 |
企業(yè)A的某個項目(Project-X)上云,購買了多種阿里云資源,例如:ECS實例、RDS實例、SLB實例和OSS存儲空間等。項目里有多個員工需要操作這些云資源,由于每個員工的工作職責不同,所需權(quán)限也不同。 企業(yè)A希望能夠達到以下要求:
| |
企業(yè)A開發(fā)了一款移動應用(App),并購買了對象存儲(OSS)服務。App需要直連OSS上傳或下載數(shù)據(jù),但是App運行在用戶自己的移動設備上,這些設備不受企業(yè)A的控制。 企業(yè)A有如下要求:
| |
企業(yè)A購買了多種阿里云資源來開展業(yè)務,例如:ECS實例、RDS實例、SLB實例和OSS存儲空間等。企業(yè)A希望將部分業(yè)務授權(quán)給企業(yè)B。 企業(yè)A有如下要求:
| |
企業(yè)A購買了ECS實例,并計劃在ECS中部署企業(yè)的應用程序。這些應用程序需要使用訪問密鑰(AccessKey)訪問其它云服務API。 | |
游戲公司A正在開發(fā)3個游戲項目,每個游戲項目都會用到多種云資源。公司A只有1個阿里云賬號,該阿里云賬號下有超過100個ECS實例。 公司A有如下要求:
|
使用方式
注冊阿里云賬號后,您可以通過以下方式使用RAM管理用戶身份與資源訪問權(quán)限: