通過RAM用戶訪問密鑰發(fā)起請求
訪問控制RAM可以幫助您管理用戶身份和資源訪問權(quán)限,使用RAM用戶訪問表格存儲資源比直接使用阿里云賬號更加安全。本文介紹如何創(chuàng)建RAM用戶和AccessKey、為RAM用戶授權(quán)、配置系統(tǒng)環(huán)境變量,并通過示例代碼演示如何使用RAM用戶的AccessKey發(fā)起請求。
創(chuàng)建RAM用戶
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側(cè)導航欄,選擇。
在用戶頁面,單擊創(chuàng)建用戶。
在創(chuàng)建用戶頁面的用戶賬號信息區(qū)域,設置用戶基本信息。
登錄名稱:可包含英文字母、數(shù)字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續(xù)基于標簽管理用戶。說明通過單擊添加用戶,您可以批量創(chuàng)建多個RAM用戶。
在訪問方式區(qū)域,選中使用永久AccessKey訪問,單擊確定。
說明如果需要使用RAM用戶登錄和訪問阿里云控制臺,請選中控制臺訪問。
根據(jù)界面提示,完成安全驗證。
單擊操作列的復制,保存RAM用戶信息。您也可以單獨復制AccessKey ID和AccessKey Secret。
重要RAM用戶的AccessKey Secret只在創(chuàng)建時顯示,頁面關(guān)閉后將無法查看,請及時保存并妥善保管。
為RAM用戶授權(quán)
創(chuàng)建RAM用戶后,您需要為RAM用戶授予表格存儲的訪問權(quán)限。
使用默認策略
以AliyunOTSFullAccess為例授予RAM用戶訪問表格存儲的權(quán)限。
AliyunOTSFullAccess擁有表格存儲的完全訪問權(quán)限,您也可以選擇以下方式進行授權(quán)。
如果需要只讀權(quán)限,請授予RAM用戶
AliyunOTSReadOnlyAccess權(quán)限。如果需要只寫權(quán)限,請授予RAM用戶
AliyunOTSWriteOnlyAccess權(quán)限。
在左側(cè)導航欄,選擇。
在用戶頁面,找到目標RAM用戶。
單擊RAM用戶右側(cè)的添加權(quán)限。
在新增授權(quán)面板的權(quán)限策略區(qū)域,搜索
AliyunOTSFullAccess并選中。單擊確認新增授權(quán)。
使用自定義策略
創(chuàng)建自定義權(quán)限策略。
在左側(cè)導航欄,選擇。
在權(quán)限策略頁面,單擊創(chuàng)建權(quán)限策略。
在創(chuàng)建權(quán)限策略頁面,單擊腳本編輯,并在輸入框中編寫腳本,單擊確定。
說明以下示例腳本授予RAM用戶訪問單個實例的權(quán)限,您可以根據(jù)需要自定義策略腳本,例如表和API級別的權(quán)限控制或基于場景(IP、訪問時間限制等)的權(quán)限控制。關(guān)于RAM Policy的更多信息,請參見自定義RAM Policy。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ots:*", "Resource": "acs:ots:*:*:instance/your_instance_name*" } ] }在創(chuàng)建權(quán)限策略對話框,填寫策略名稱,例如
TestRAMPolicy,單擊確定。
為RAM用戶授予自定義權(quán)限策略。
在左側(cè)導航欄,選擇。
在用戶頁面,找到目標RAM用戶。
單擊RAM用戶右側(cè)的添加權(quán)限。
在新增授權(quán)面板的權(quán)限策略區(qū)域,搜索并選中已創(chuàng)建的自定義權(quán)限策略。
單擊確認新增授權(quán)。
配置環(huán)境變量
直接在代碼中保存訪問憑證容易導致信息泄露,建議您按以下操作將訪問憑證保存在系統(tǒng)環(huán)境變量中。
Windows
以管理員身份運行命令提示符,執(zhí)行以下命令。
setx TABLESTORE_ACCESS_KEY_ID your_access_key_id /m
setx TABLESTORE_ACCESS_KEY_SECRET your_access_key_secret /mmacOS/Linux/Unix
export TABLESTORE_ACCESS_KEY_ID=your_access_key_id
export TABLESTORE_ACCESS_KEY_SECRET=your_access_key_secret通過RAM用戶發(fā)起請求
準備工作
在表格存儲控制臺創(chuàng)建實例和數(shù)據(jù)表。
獲取實例名稱、實例訪問地址、地域ID。地域列表請參見地域。
安裝Tablestore SDK。具體操作,請參見安裝Java SDK。
示例代碼
以下Java示例代碼用于獲取實例下的所有數(shù)據(jù)表名稱。
import com.alicloud.openservices.tablestore.SyncClient;
import com.alicloud.openservices.tablestore.core.ResourceManager;
import com.alicloud.openservices.tablestore.core.auth.*;
import com.alicloud.openservices.tablestore.model.ListTableResponse;
public class Main {
public static void main(String[] args) {
// yourRegion 填寫您的實例所在地域,如 cn-hangzhou
final String region = "yourRegion";
// yourInstance 填寫您的實例名稱
final String instanceName = "yourInstance";
// yourEndpoint 填寫您的實例訪問地址
final String endpoint = "yourEndpoint";
// 獲取系統(tǒng)變量里的 AccessKey ID 和 AccessKey Secret
final String accessKeyId = System.getenv("TABLESTORE_ACCESS_KEY_ID");
final String accessKeySecret = System.getenv("TABLESTORE_ACCESS_KEY_SECRET");
// 構(gòu)造 V4 簽名
DefaultCredentials credentials = new DefaultCredentials(accessKeyId, accessKeySecret);
V4Credentials credentialsV4 = V4Credentials.createByServiceCredentials(credentials, region);
CredentialsProvider provider = new DefaultCredentialProvider(credentialsV4);
// 初始化 Tablestore Client
SyncClient client = new SyncClient(endpoint, provider, instanceName, null, new ResourceManager(null, null));
// 列出實例下的數(shù)據(jù)表列表并打印到控制臺
ListTableResponse listTableResponse = client.listTable();
listTableResponse.getTableNames().forEach(System.out::println);
// 關(guān)閉 Tablestore Client
client.shutdown();
}
}常見問題
問:如果未復制AccessKey信息就關(guān)閉了頁面,或者遺失了AccessKey信息該怎么辦?
您可以創(chuàng)建用于輪轉(zhuǎn)的第二個AccessKey,驗證后再刪除原來的AccessKey。具體操作,請參見輪轉(zhuǎn)RAM用戶的AccessKey。
問:如何讓RAM用戶能自主管理AccessKey?
您需要在RAM控制臺設置頁面的全局安全區(qū)域啟用允許用戶管理AccessKey設置,設置后RAM用戶可以自行創(chuàng)建、禁用和刪除AccessKey。具體操作,請參見管理RAM用戶安全設置和創(chuàng)建AccessKey。