75
微信
RAM術語__產品簡介_訪問控製-阿裏雲
雲賬戶(主賬戶)
雲賬戶是阿裏雲資源歸屬、資源使用計量計費的基本主體。當用戶開始使用阿裏雲服務時,首先需要注冊一個雲賬戶。雲賬戶為其名下所擁有的資源付費,並對其名下所有資源擁有完全權限。默認情況下,資源隻能被屬主(ResourceOwner)所訪問,任何其他用戶訪問都需要獲得屬主的顯式授權。所以從權限管理的角度來看,雲賬戶就是操作係統的 root 或 Administrator,所以我們有時稱它為“根賬戶”或“主賬戶”。
雲賬戶別名
每個雲賬戶可以在 RAM 中為自己設置一個全局唯一的別名。別名主要用於 RAM 用戶登錄以及成功登錄後的顯示名。比如,雲賬號 admin@abc.com 為自己設置一個別名為 abc.com,那麼其名下的 RAM 用戶 alice 成功登錄後,顯示名就是 alice@abc.com。
RAM 用戶
RAM 允許在一個雲賬戶下創建多個 RAM 用戶(可以對應企業內的員工、係統或應用程序)。RAM 用戶不擁有資源,沒有獨立的計量計費,這些用戶由所屬雲賬戶統一控製和付費。RAM 用戶是歸屬於雲賬戶,隻能在所屬雲賬戶的空間下可見,而不是獨立的雲賬戶。RAM 用戶必須在獲得雲賬戶的授權後才能登錄控製台或使用 API 操作雲賬戶下的資源。
RAM 用戶有兩種身份類型:RAM-User 和 RAM-Role。RAM-User 類型是一種實體身份類型,有確定的身份 ID 和身份憑證,它通常與某個確定的人或應用程序一一對應。RAM-Role 類型是一種虛擬身份類型,它沒有確定的身份憑證,它必須關聯到某個實體身份上才能使用。
RAM-Role 與 Textbook-Role(教科書式角色)的差異
- (相同點)RAM-Role 和 Textbook-Role 都可以綁定一組權限集。
- (不同點)RAM-Role 是一種虛擬身份或影子賬號,它有獨立的身份 ID,除了綁定權限之外,還需要指定演員列表(Roleplayers),它主要用於解決與身份聯盟(Identity Federation)相關的問題。Textbook-Role 通常隻表示一組權限的集合,它不是身份,主要用於簡化授權管理。
RAM-Role 的扮演與切換
- 從登錄身份切換到角色身份(SwitchRole):一個實體用戶(比如 RAM-User)登錄到控製台後,可以選擇“切換到某個角色”,前提是這個實體用戶已經被關聯了角色。每次隻能切換進入某一種角色。當用戶從“登錄身份”進入“角色身份”時,用戶隻能使用“角色身份”上所綁定的權限,而“登錄身份”上綁定的權限會被屏蔽。如果需要使用“登錄身份”的權限,那麼需要從“角色身份”切換回到“登錄身份”。
- 從實體身份通過程序調用方式扮演角色(AssumeRole):如果一個實體用戶(比如 RAM-User)關聯了某個 RAM-Role,那麼該用戶可以使用訪問密鑰(AccessKey)來調用 STS 服務的 AssumeRole 接口來獲得這個 RAM-Role 的一個臨時訪問密鑰。臨時訪問密鑰有過期時間和受限製的訪問權限(不會超過該角色所綁定的權限集),通常用於解決臨時授權問題。
身份憑證(Credential)
身份憑證是用於證明用戶真實身份的憑據,它通常是指登錄密碼或訪問密鑰(Access Key)。身份憑證是秘密信息,用戶必須保護好身份憑證的安全。
登錄名/密碼(Password)您可以使用登錄名和密碼登入阿裏雲控製台,查看訂單、賬單或購買資源,並通過控製台進行資源操作。
訪問密鑰(AccessKey)您可以使用訪問密鑰構造一個 API 請求(或者使用雲服務 SDK)來操作資源。
多因素認證多因素認證(Multi-Factor Authentication, MFA)是一種簡單有效的最佳安全實踐方法,它能夠在用戶名和密碼之外再額外增加一層安全保護。啟用 MFA 後,用戶登錄阿裏雲網站時,係統將要求輸入用戶名和密碼(第一安全要素),然後要求輸入來自其MFA設備的可變驗證碼(第二安全要素)。這些多重要素結合起來將為您的賬戶提供更高的安全保護。
資源(Resource)
資源是雲服務呈現給用戶與之交互的對象實體的一種抽象,如 OSS 存儲桶或對象,ECS 實例等。
我們為每個資源定義了一個全局的阿裏雲資源名稱(Aliyun Resource Name, ARN)。格式如下:
acs:<service-name>:<region>:<account-id>:<resource-relative-id>
格式說明:
- acs: 它是 Alibaba Cloud Service 的首字母縮寫,表示阿裏雲的公有雲平台
- service-name: 阿裏雲提供的 Open Service 的名字,如 ecs, oss, odps 等
- region: 地區信息。如果不支持該項,可以使用通配符“*”號來代替
- account-id: 賬號 ID,比如 1234567890123456
- resource-relative-id: 與 service 相關的資源描述部分,其語義由具體 service 指定。以 OSS 為例,”acs:oss::1234567890123456:sample_bucket/file1.txt” 表示公有雲平台 OSS 資源,OSS 對象名稱是 sample_bucket/file1.txt,對象的 Owner 是 1234567890123456。
權限(Permission)
權限是允許(Allow)或拒絕(Deny)一個用戶對某種資源執行某種操作。
操作可以分為兩大類:資源管控操作和資源使用操作。資源管控操作是指雲資源的生命周期管理及運維管理操作,比如 ECS 的實例創建、停止、重啟等,OSS 的 Bucket 創建、修改、刪除等。資源使用操作是指使用資源的核心功能,比如 ECS 實例操作係統中的用戶操作,OSS Bucket 的數據上傳/下載。資源管控所麵向的用戶一般是資源購買者或您組織內的運維員工,資源使用所麵向的用戶則是您組織內的研發員工或應用係統。
對於彈性計算和數據庫產品,資源管控操作可以通過 RAM 來管理,而資源使用操作是在每個產品的實例內進行管理,比如ECS 實例操作係統的權限控製,MySQL 數據庫提供的權限控製。單對於存儲類產品,如 OSS, Table Store等,資源管控操作和資源使用操作都可以通過 RAM 來管理。
授權策略(Policy)
授權策略是描述權限集的一種簡單語言規範。RAM 支持的語言規範請參見 授權策略語言。
RAM 支持兩種類型的授權策略:雲平台管理的係統訪問策略和客戶管理的自定義訪問策略。對於阿裏雲管理的係統訪問策略,用戶隻能使用,不能修改,阿裏雲會自動完成係統訪問策略的版本更新。對於客戶管理的自定義訪問策略,用戶可以自主創建和刪除,策略版本由客戶自己維護。
最後更新:2016-11-23 17:16:05
上一篇: 什麼是RAM?__產品簡介_訪問控製-阿裏雲
下一篇: 支持的雲服務列表__產品簡介_訪問控製-阿裏雲
- 文件類型占比__資源監控接口_API 手冊_CDN-阿裏雲
- 阿裏雲網站服務條款(Aliyun Website Service Agreement)__賬號注冊_會員帳號及密碼_會員賬號&實名認證-阿裏雲
- 查看實例列表__實例管理_開放API_分布式關係型數據庫 DRDS-阿裏雲
- 日誌庫(Logstore)__基礎概念_用戶指南_日誌服務-阿裏雲
- 阿裏雲全球化邁入2.0階段,或將助推阿裏取得更大突破
- 暴恐敏感圖片異步接口__暴恐敏感圖片API_內容檢測API文檔_阿裏綠網-阿裏雲
- TableMeta__DataType_API 參考_表格存儲-阿裏雲
- 刪除存儲空間__快速入門_對象存儲 OSS-阿裏雲
- 用戶權限管理__快速入門_雲數據庫 HybridDB-阿裏雲
- 配置 IDEA 開發環境__開發工具準備_開發者指南_企業級分布式應用服務 EDAS-阿裏雲
相關內容
- 常見錯誤說明__附錄_大數據計算服務-阿裏雲
- 發送短信接口__API使用手冊_短信服務-阿裏雲
- 接口文檔__Android_安全組件教程_移動安全-阿裏雲
- 運營商錯誤碼(聯通)__常見問題_短信服務-阿裏雲
- 設置短信模板__使用手冊_短信服務-阿裏雲
- OSS 權限問題及排查__常見錯誤及排除_最佳實踐_對象存儲 OSS-阿裏雲
- 消息通知__操作指南_批量計算-阿裏雲
- 設備端快速接入(MQTT)__快速開始_阿裏雲物聯網套件-阿裏雲
- 查詢API調用流量數據__API管理相關接口_API_API 網關-阿裏雲
- 使用STS訪問__JavaScript-SDK_SDK 參考_對象存儲 OSS-阿裏雲