概念

說明

RAM用戶

RAM用戶是RAM的一種實(shí)體身份類型，有確定的身份ID和身份憑證，它通常與某個(gè)確定的人或應(yīng)用程序一一對(duì)應(yīng)。

• 一個(gè)阿里云賬號(hào)下可以創(chuàng)建多個(gè)RAM用戶，對(duì)應(yīng)企業(yè)內(nèi)的員工、系統(tǒng)或應(yīng)用程序。

• RAM用戶不擁有資源，不能獨(dú)立計(jì)量計(jì)費(fèi)，由所屬阿里云賬號(hào)統(tǒng)一控制和付費(fèi)。

• RAM用戶歸屬于阿里云賬號(hào)，只能在所屬阿里云賬號(hào)的空間下可見，而不是獨(dú)立的阿里云賬號(hào)。

• RAM用戶必須在獲得阿里云賬號(hào)的授權(quán)后才能登錄控制臺(tái)或使用API操作阿里云賬號(hào)下的資源。

更多信息，請(qǐng)參見RAM用戶概覽和創(chuàng)建RAM用戶。

RAM角色

RAM角色是一種虛擬用戶，可以被授予一組權(quán)限策略。與RAM用戶不同，RAM角色沒有確定的登錄密碼或訪問密鑰，它需要被一個(gè)可信的實(shí)體用戶（RAM用戶、阿里云服務(wù)或身份提供商）扮演。扮演成功后實(shí)體用戶將獲得RAM角色的臨時(shí)身份憑證，即安全令牌（STS Token），使用安全令牌就能以RAM角色身份訪問被授權(quán)的資源。

根據(jù)不同的可信實(shí)體，RAM角色分為以下三類：

• 阿里云賬號(hào)：允許RAM用戶所扮演的角色。扮演角色的RAM用戶可以屬于自己的阿里云賬號(hào)，也可以屬于其他阿里云賬號(hào)。此類角色主要用來(lái)解決跨賬號(hào)訪問和臨時(shí)授權(quán)問題。

• 阿里云服務(wù)：允許云服務(wù)所扮演的角色。此類角色主要用于授權(quán)云服務(wù)代理您進(jìn)行資源操作。

• 身份提供商：允許可信身份提供商下的用戶所扮演的角色。此類角色主要用于實(shí)現(xiàn)與阿里云的單點(diǎn)登錄（SSO）。

更多信息，請(qǐng)參見RAM角色概覽、創(chuàng)建可信實(shí)體為阿里云賬號(hào)的RAM角色、創(chuàng)建可信實(shí)體為阿里云服務(wù)的RAM角色和創(chuàng)建可信實(shí)體為身份提供商的RAM角色。

角色ARN

角色ARN是角色的全局資源描述符，用來(lái)指定具體角色。ARN遵循阿里云ARN的命名規(guī)范。例如，某個(gè)阿里云賬號(hào)下的devops角色的ARN為：acs:ram::123456789012****:role/samplerole。創(chuàng)建角色后，單擊角色名后，可在基本信息頁(yè)查看其ARN。

可信實(shí)體

RAM角色的可信實(shí)體是指可以扮演RAM角色的實(shí)體用戶身份。創(chuàng)建RAM角色時(shí)必須指定可信實(shí)體，RAM角色只能被可信實(shí)體扮演。可信實(shí)體可以是阿里云賬號(hào)、受信的阿里云服務(wù)或身份提供商。

權(quán)限策略

權(quán)限策略是用語(yǔ)法結(jié)構(gòu)描述的一組權(quán)限的集合，可以精確地描述被授權(quán)的資源集、操作集以及授權(quán)條件。權(quán)限策略是描述權(quán)限集的一種簡(jiǎn)單語(yǔ)言規(guī)范。一個(gè)RAM角色可以綁定一組權(quán)限策略，沒有綁定權(quán)限策略的RAM角色可以存在，但不能訪問資源。

扮演角色

扮演角色是實(shí)體用戶獲取角色身份的安全令牌的方法。一個(gè)實(shí)體用戶調(diào)用STS API AssumeRole - 獲取扮演角色的臨時(shí)身份憑證可以獲得角色的安全令牌，使用安全令牌可以訪問云服務(wù)API。