417      同花順

企業子賬號管理與分權__使用場景_用戶指南_訪問控製-阿裏雲

場景描述

企業A的某個項目(Project-X)上雲，購買了多種雲資源（如ECS實例/RDS實例/SLB實例/OSS存儲桶/...）。項目裏有多個員工需要操作這些雲資源，比如有的負責購買，有的負責運維，還有的負責線上應用。由於每個員工的工作職責不一樣，需要的權限也不一樣。出於安全或信任的考慮，A不希望將雲賬號密鑰直接透露給員工，而希望能給員工創建相應的用戶賬號。用戶賬號隻能在授權的前提下操作資源，不需要對用戶賬號進行獨立的計量計費，所有開銷都算在A的頭上。當然，A隨時可以撤銷用戶賬號身上的權限，也可以隨時刪除其創建的用戶賬號。

需求說明

• 杜絕多員工共享主賬號，防止主賬號密碼或AK泄露導致風險不可控
• 給不同員工分配獨立的用戶賬號（或操作員賬號）並獨立分配權限，做到責權一致
• 所有用戶賬號的所有操作行為可審計
• 不需要分別核算每個操作人員的成本，所發生費用統一計入主賬號賬單

解決方法

使用RAM的用戶賬號與授權管理功能，如下圖所示：

操作流程如下：

• 給主賬號綁定MFA設備。給主賬號設置多因素認證，避免因主賬號密碼泄露導致風險。
• 開通RAM ( https://www.aliyun.com/product/ram )
• 創建用戶賬號。為不同員工（或應用係統）創建RAM用戶賬號，並按需設置登錄密碼或創建AccessKey。
• 創建群組。如果有多個員工的職責相同，建議創建群組，並將用戶添加到群組。
• 授權。給群組或用戶添加一條或多條係統授權策略。如果需要更細粒度的授權，可以創建自定義授權策略，然後給群組或用戶授權。

最後更新：2016-11-24 11:23:47

  上一篇： 資源訪問控製__授權管理_用戶指南_訪問控製-阿裏雲

  下一篇： 針對移動App的臨時授權管理__使用場景_用戶指南_訪問控製-阿裏雲