目前,ACM 同時(shí)支持阿里云 AccessKey/SecretKey 和 ACM 專用 AccessKey/SecretKey。本文解釋了為什么有兩套身份標(biāo)識(shí),以及二者的區(qū)別。
為什么有兩套身份標(biāo)識(shí)系統(tǒng)
- 阿里云最初不支持主子賬號(hào)。阿里云主賬號(hào)的權(quán)限特別大,泄漏風(fēng)險(xiǎn)高,因此不推薦使用主賬號(hào)的 AccessKey/SecretKey 訪問其他系統(tǒng)。
- 阿里云賬號(hào)系統(tǒng)主要用于用戶訪問控制,能承受的 QPS 較小,不建議用于數(shù)據(jù)訪問控制鑒權(quán)。
二者的區(qū)別
身份類型 | 阿里云 AccessKey/SecretKey | ACM 專用 AccessKey/SecretKey |
---|---|---|
權(quán)限 | 主賬號(hào)具備所有權(quán)限。如果不對(duì)子賬號(hào)授權(quán),則子賬號(hào)沒有權(quán)限,授權(quán)后則具備所有權(quán)限(將來會(huì)實(shí)現(xiàn)子賬號(hào)細(xì)粒度授權(quán)) | 可以操作一個(gè)命名空間下的數(shù)據(jù) |
使用場景 | 與其他云產(chǎn)品聯(lián)動(dòng),例如整合 KMS 做數(shù)據(jù)加密 | 兼容老用戶使用場景 |
使用建議
由于阿里云目前支持子賬號(hào)體系,并且接口性能大幅提升,使用 ACM 單獨(dú)賬號(hào)體系已無優(yōu)勢,因此建議您使用阿里云賬號(hào)體系。