126
微信
什麼是RAM?__產品簡介_訪問控製-阿裏雲
什麼是RAM?
RAM (Resource Access Management) 是阿裏雲為客戶提供的用戶身份管理與訪問控製服務。使用RAM,您可以創建、管理用戶賬號(比如員工、係統或應用程序),並可以控製這些用戶賬號對您名下資源具有的操作權限。當您的企業存在多用戶協同操作資源時,使用RAM可以讓您避免與其他用戶共享雲賬號密鑰,按需為用戶分配最小權限,從而降低您的企業信息安全風險。
RAM需求場景
- 企業子賬號管理與分權
企業A購買了多種雲資源(如ECS實例/RDS實例/負載均衡實例/OSS存儲桶/…),A的員工需要操作這些雲資源,比如有的負責購買,有的負責運維,還有的負責線上應用。由於每個員工的工作職責不一樣,需要的權限也不一樣。出於安全或信任的考慮,A不希望將雲賬號密鑰直接透露給員工,而希望能給員工創建相應的用戶賬號。用戶賬號隻能在授權的前提下操作資源,不需要對用戶賬號進行獨立的計量計費,所有開銷都算在A的頭上。當然,A隨時可以撤銷用戶賬號身上的權限,也可以隨時刪除其創建的用戶賬號。
- 不同企業之間的資源操作與授權管理
A和B代表不同的企業。A購買了多種雲資源(如ECS實例/RDS實例/負載均衡實例/OSS存儲桶/…)來開展業務。A希望能專注於業務係統,而將雲資源運維監控管理等任務委托或授權給企業B。當然,企業B可以進一步將代運維任務分配給B的員工。B可以精細控製其員工對A的雲資源操作權限。如果A和B的這種代運維合同終止,A隨時可以撤銷對B的授權。
- 針對不可信客戶端App的臨時授權管理
企業A開發了一款移動App,並購買了OSS服務。移動App需要上傳數據到OSS(或從OSS下載數據),A不希望所有App都通過AppServer來進行數據中轉,而希望讓App能直連OSS上傳/下載數據。由於移動App運行在用戶自己的終端設備上,這些設備並不受A的控製。出於安全考慮,A不能將訪問密鑰保存到移動App中。A希望將安全風險控製到最小,比如,每個移動App直連OSS時都必須使用最小權限的訪問令牌,而且訪問時效也要很短(比如30分鍾)。
RAM設計思路
RAM允許在一個雲賬號下創建並管理多個用戶身份,並允許給單個身份或一組身份分配不同的授權策略(Policy),從而實現不同用戶擁有不同的雲資源訪問權限。
RAM用戶身份是指任意的通過控製台或OpenAPI操作阿裏雲資源的人、係統或應用程序。為了支持多種應用場景的身份管理,RAM支持兩種不同的用戶身份類型:RAM-User和RAM-Role。 RAM-User是一種實體身份,有確定的身份ID和身份認證密鑰,它通常與某個確定的人或應用程序一一對應。 RAM-Role是一種虛擬身份,有確定的身份ID,但沒有確定的身份認證密鑰。RAM-Role需要與某個實體身份進行關聯之後才能被使用。一個RAM-Role可以與多種實體身份關聯,比如可以與當前雲賬號下的RAM-User關聯,與其它雲賬號下的RAM-User關聯,與阿裏雲服務(EMR/MTS/…)關聯,與外部實體身份(如企業本地賬號)關聯。
RAM允許在雲賬號下創建並管理多個授權策略,每個授權策略本質上是一組權限的集合。管理員可以將一個或多個授權策略分配給RAM用戶(包括RAM-User和RAM-Role)。RAM授權策略語言可以表達精細的授權語義,可以指定對某個API-Action和Resource-ID授權,也可以支持多種限製條件(源IP、訪問時間、多因素認證等)。
雲賬戶 vs RAM用戶
- 從歸屬關係上看,雲賬戶與RAM用戶是一種主子關係。雲賬戶是阿裏雲資源歸屬、資源使用計量計費的基本主體。RAM用戶隻能存在於某個雲賬戶下的RAM實例中。RAM用戶不擁有資源,在被授權操作時所創建的資源歸屬於主賬戶;RAM用戶不擁有賬單,被授權操作時所發生的費用也計入主賬戶賬單。
- 從權限角度看,雲賬戶與RAM用戶是一種root與user的關係(類比Linux係統)。Root對資源擁有一切操作控製權限,而user隻能擁有被root所授予的某些權限,而且root在任何時刻都可以撤銷user身上的權限。
RAM產品功能
RAM包括下列功能:
- 集中控製RAM用戶及其密鑰 —— 可以在雲賬號下創建並管理用戶及其訪問密鑰,並可以為用戶綁定/解綁多因素認證設備
- 集中控製RAM用戶的訪問權限 —— 可以為每個用戶或用戶組綁定一個或多個授權策略,限製用戶對指定資源的操作權限
- 集中控製RAM用戶的資源訪問方式 —— 可以要求用戶必須使用安全信道(如SSL)、指定時間範圍、以及在指定源IP條件下才能操作指定的雲資源
- 集中控製RAM角色與外部賬號的身份聯盟管理 —— 可以使用RAM角色與外部身份係統(比如您的企業本地域賬號、您的App用戶賬號)進行關聯,滿足直接使用外部身份登錄到一個RAM角色身份訪問阿裏雲控製台或API。
- 集中控製雲資源 —— 可以對用戶創建的實例或數據進行集中控製。當用戶離開您的組織時,這些實例或數據仍然受您的完全控製。
- 統一賬單 —— 雲賬戶將收到包括所有RAM用戶的資源操作所發生的費用的單一賬單
RAM與企業級雲資源管理
需求說明(如下圖所示):
- 您的企業隻需使用一個雲賬號(比如companyA@aliyun.com)
- 所有資源都歸屬於該雲賬號的名下,雲賬號是資源的Owner(掌握完全控製權的人),也是賬單的支付者
- 通過RAM為您名下的操作員(對資源進行運維管控操作)創建獨立的用戶賬號並進行授權管理
- 用戶賬號不擁有資源(對其所創建的資源默認沒有訪問權限),隻能操作被授權的資源
- 用戶賬號操作所發生費用都計入主賬號名下,不支持用戶賬號的獨立計量計費
適用具有如下特點的企業場景:
- 希望很簡單就能管理每個操作人員(或應用)的賬號及權限
- 不需要分別核算每個操作人員(或應用)的成本和費用
最後更新:2016-11-23 17:16:05
上一篇: Node.jsSDK使用手冊__SDK使用手冊_雲監控-阿裏雲
下一篇: RAM術語__產品簡介_訪問控製-阿裏雲
- 態勢感知介紹___使用手冊_態勢感知-阿裏雲
- 刪除應用實例__應用API列表_API參考_容器服務-阿裏雲
- ApiSummary__數據類型_API_API 網關-阿裏雲
- Java SDK實例程序__最佳實踐_歸檔存儲-阿裏雲
- 查看實例資源使用情況__監控管理_API 參考_雲數據庫 RDS 版-阿裏雲
- 查看監控數據__站點監控_用戶指南_雲監控-阿裏雲
- 華為雲和運營商、阿裏雲必有一戰?
- 2016-09-29__Release-Notes_日誌服務-阿裏雲
- UpdateUser__用戶管理接口_RAM API文檔_訪問控製-阿裏雲
- HSF 特性使用__服務開發_開發者指南_企業級分布式應用服務 EDAS-阿裏雲
相關內容
- 常見錯誤說明__附錄_大數據計算服務-阿裏雲
- 發送短信接口__API使用手冊_短信服務-阿裏雲
- 接口文檔__Android_安全組件教程_移動安全-阿裏雲
- 運營商錯誤碼(聯通)__常見問題_短信服務-阿裏雲
- 設置短信模板__使用手冊_短信服務-阿裏雲
- OSS 權限問題及排查__常見錯誤及排除_最佳實踐_對象存儲 OSS-阿裏雲
- 消息通知__操作指南_批量計算-阿裏雲
- 設備端快速接入(MQTT)__快速開始_阿裏雲物聯網套件-阿裏雲
- 查詢API調用流量數據__API管理相關接口_API_API 網關-阿裏雲
- 使用STS訪問__JavaScript-SDK_SDK 參考_對象存儲 OSS-阿裏雲