借助訪問控制RAM的RAM用戶(子賬號),您可以實現權限分割的目的,按需為RAM用戶賦予不同權限,并避免因暴露阿里云賬號(主賬號)密鑰造成的安全風險。
背景信息
出于安全考慮,您可以為阿里云賬號(主賬號)創建RAM用戶(子賬號),并根據需要為這些RAM用戶賦予不同的權限,這樣就能在不暴露阿里云賬號密鑰的情況下,實現讓RAM用戶各司其職的目的。例如,假設企業A希望讓部分員工處理日常運維工作,則企業A可以創建RAM用戶,并為RAM用戶賦予相應權限,此后員工即可使用這些RAM用戶登錄控制臺。
AHAS權限說明
AHAS支持借助RAM用戶實現分權,即為該RAM用戶開啟控制臺登錄權限,并按需授予以下權限。
AliyunAHASFullAccess:AHAS的完整權限。該權限提供AHAS控制臺所有操作的權限。具有該權限的RAM用戶可以查看應用的監控數據,同時可以執行規則的創建、編輯、刪除等操作。
AliyunAHASReadOnlyAccess:AHAS的只讀權限。該權限提供AHAS控制臺界面的瀏覽、訪問權限。具有該權限的RAM用戶可以查看應用的監控信息、配置的防護規則以及限流觸發產生的告警等。
具有AliyunAHASReadOnlyAccess權限的RAM用戶無法在控制臺進行防護規則的創建、編輯、刪除等操作,如果需要對防護規則、行為管理等進行操作,請為RAM用戶添加AliyunAHASFullAccess權限。
前提條件
所有用戶權限操作,請在阿里云賬號環境下進行操作,RAM用戶環境下無法為當前RAM用戶添加任何權限,RAM用戶請聯系阿里云賬號使用者幫助完成權限添加操作。
為RAM用戶添加只讀權限(AliyunAHASReadOnlyAccess)
如果希望RAM用戶能夠在AHAS控制臺瀏覽監控等頁面,在使用RAM用戶之前,需要為其添加相應的只讀權限,添加步驟如下:
為RAM用戶添加完整權限(AliyunAHASFullAccess)
如果希望RAM用戶能夠在AHAS控制臺進行規則的創建、編輯等操作,在使用RAM用戶之前,需要為其添加完整權限,添加步驟如下:
使用RAM用戶登錄控制臺
使用阿里云賬號創建好RAM用戶后,即可將RAM用戶的登錄名稱及密碼或者AccessKey信息分發給其他用戶。其他用戶可以按照以下步驟使用RAM用戶登錄AHAS控制臺。
RAM用戶登錄阿里云控制臺。
在RAM用戶名密碼登錄頁簽,輸入RAM用戶名,單擊下一步。
方式一:使用默認域名登錄。RAM用戶的登錄格式為
<UserName>@<AccountAlias>.onaliyun.com,例如:username@company-alias.onaliyun.com。方式二:使用賬號別名登錄。RAM用戶的登錄格式為
<UserName>@<AccountAlias>,例如:username@company-alias。方式三:如果創建了域別名,也可以使用域別名登錄。RAM用戶的登錄格式為
<UserName>@<DomainAlias>,例如:username@example.com。
(可選)如果您開啟了多因素認證(MFA),則需要輸入虛擬MFA設備生成的驗證碼,或通過U2F安全密鑰認證。
更多信息,請參見多因素認證(MFA)和為RAM用戶綁定MFA設備。
輸入RAM用戶的登錄密碼,然后單擊登錄。
在RAM頁面上搜索并單擊應用高可用服務或AHAS,即可訪問應用高可用服務控制臺。
說明若您目前使用的是RAM用戶,請聯系阿里云賬號使用者為您添加相關權限。