| 什么是访问控制(RAM) | 您所在的位置:网站首页 › ram作用 › 什么是访问控制(RAM) |
|
访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。 功能特性统一管理访问身份及权限集中式访问控制集中管理RAM用户:管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA(Multi Factor Authentication)设备。集中控制RAM用户的访问权限:控制每个RAM用户访问资源的权限。集中控制RAM用户的资源访问方式:确保RAM用户在指定的时间和网络环境下,通过安全信道访问特定的阿里云资源。外部身份集成单点登录SSO(Single Sign On):支持阿里云与企业身份提供商IdP(Identity Provider)进行用户SSO或角色SSO,使用企业IdP中的账号登录阿里云。钉钉账号集成:为RAM用户绑定一个钉钉账号,然后就可以使用该钉钉账号登录阿里云。SCIM用户同步:通过SCIM协议将企业内部账号同步到RAM。更多信息,请参见通过SCIM协议将企业内部账号同步到阿里云RAM。精细多元的权限设置能力丰富的权限策略RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果系统权限策略不能满足您的需求,您还可以通过图形化工具快速地创建自定义权限策略。 精细的控制粒度支持在资源级和操作级向RAM用户、RAM用户组和RAM角色授予访问权限。支持根据请求源IP地址、日期时间、资源标签等条件属性创建更精细的资源访问控制策略。支持指定授权范围为整个阿里云账号或指定资源组。云SSO实现多账号统一身份权限管理云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。您可以在云SSO中进行一次性统一配置,即可完成面向多个阿里云账号的身份管理、单点登录和权限配置。为了实现这一目标,云SSO提供了独立于RAM的身份目录,但其权限管理复用了RAM中的系统策略和自定义策略语法。此外,云SSO用户对RD账号的访问,本质上是云SSO用户扮演每个RD账号中的RAM角色进行的再一次单点登录。 免费使用RAM为免费产品,经过实名认证的阿里云账号可以直接使用,不收取任何费用。 产品优势使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享阿里云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。 应用场景应用场景描述用户管理与分权企业A的某个项目(Project-X)上云,购买了多种阿里云资源,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,需要的权限也不同。 企业A希望能够达到以下要求: 企业A不希望多员工共享同一个云账号,共享云账号可能导致密码或访问密钥泄露。企业A希望能给员工创建独立账号(操作员账号)并独立分配权限,做到责权一致。企业A希望用户账号只能在授权的前提下操作资源,所有用户账号的所有操作行为可审计。 企业A希望随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。企业A不需要对用户账号进行独立的计量计费,所有发生的费用统一计入云账号账单。移动应用使用临时安全令牌访问阿里云企业A开发了一款移动应用(App),并购买了对象存储(OSS)服务。App需要直连OSS上传或下载数据,但是App运行在用户自己的移动设备上,这些设备不受企业A的控制。 企业A有如下要求: 直传数据:企业A不希望所有App都通过企业的服务端应用服务器(Application Server)来进行数据中转,而希望能够直连OSS上传或下载数据。安全管控:企业A不希望将访问密钥(AccessKey)保存到移动设备中,因为移动设备是归属于用户控制,属于不可信的运行环境。风险控制:企业A希望将风险控制到最小,每个App直连OSS时都必须拥有最小的访问权限且访问时效需要很短。跨阿里云账号的资源授权企业A购买了多种阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。企业A希望将部分业务授权给企业B。 企业A有如下要求: 企业A希望能专注于业务系统,仅作为资源Owner。企业A希望可以授权账号B来操作部分业务,例如:云资源运维、监控以及管理等。企业A希望当企业B的员工加入或离职时,无需做任何权限变更。企业B可以进一步将企业A的资源访问权限分配给企业B的RAM用户(员工或应用),并可以精细控制其员工或应用对资源的访问和操作权限。企业A希望如果双方合同终止,企业A随时可以撤销企业B的授权。对云上应用进行动态身份管理与授权企业A购买了ECS实例,并计划在ECS中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API。RAM资源分组与授权游戏公司A正在开发3个游戏项目,每个游戏项目都会用到多种云资源。公司A只有1个阿里云账号,该阿里云账号下有超过100个ECS实例。 公司A有如下要求: 项目独立管理:每个管理员各自能够独立管理项目人员及其访问权限。按项目分账:财务部门希望能够根据项目进行出账,以解决财务成本分摊的问题。共享底层网络:客户希望云资源的底层网络默认共享。使用方式注册阿里云账号后,您可以通过以下方式使用RAM管理用户身份与资源访问权限: RAM控制台具有交互式操作的Web服务页面。您可登录RAM控制台完成相关操作。 阿里云SDK提供多种编程语言的SDK。更多信息,请参见RAM SDK概览、IMS SDK概览和STS SDK概览。 OpenAPI开发者门户提供快速检索接口、在线调用API和动态生成SDK示例代码等服务。更多信息,请参见OpenAPI开发者门户。 阿里云CLI通过命令行的方式调用API。更多信息,请参见什么是阿里云CLI?。 |
| CopyRight 2018-2019 实验室设备网 版权所有 |