借助訪問控制RAM的RAM用戶,您可以實現權限分割的目的,按需為RAM用戶賦予不同權限,并避免因暴露阿里云賬號密鑰造成的安全風險。
應用場景
以下是需用到訪問控制RAM的典型場景。
借助RAM用戶實現分權
企業A的某個項目(Project-X)上云,購買了多種阿里云產品,例如:ECS實例、RDS實例、SLB實例、OSS存儲空間等。項目里有多個員工需要操作這些云資源,由于每個員工的工作職責不同,需要的權限也不一樣。企業A希望能夠達到以下要求:
- 出于安全或信任的考慮,A不希望將云賬號密鑰直接透露給員工,而希望能給員工創建獨立賬號。
- 用戶賬號只能在授權的前提下操作資源。A隨時可以撤銷用戶賬號身上的權限,也可以隨時刪除其創建的用戶賬號。
- 不需要對用戶賬號進行獨立的計量計費,所有開銷都由A來承擔。
針對以上需求,可以借助RAM的授權管理功能實現用戶分權及資源統一管理。
借助RAM角色實現跨賬號訪問資源
云賬號A和云賬號B分別代表不同的企業。A購買了多種云資源來開展業務,例如:ECS實例、RDS實例、SLB實例、OSS存儲空間等。
- 企業A希望能專注于業務系統,而將云資源運維、監控、管理等任務授權給企業B。
- 企業B還可以進一步將A的資源訪問權限分配給B的某一個或多個員工,B可以精細控制其員工對資源的操作權限。
- 如果A和B的這種運維合同關系終止,A隨時可以撤銷對B的授權。
針對以上需求,可以借助RAM角色實現跨賬號授權及資源訪問的控制。
權限策略
ARMS支持的系統權限策略如下所示。
權限策略 | 類型 | 說明 |
AliyunARMSFullAccess | 系統 | 應用實時監控服務ARMS的完整權限 |
AliyunARMSReadOnlyAccess | 系統 | 應用實時監控服務ARMS的只讀權限 重要 為了實現對ARMS所有功能的只讀權限,添加AliyunARMSReadOnlyAccess權限策略外,還需要再為特定的資源組配置ReadTraceApp權限,否則ARMS將無法展示資源組鑒權下的應用列表。 |
更多信息
文檔內容是否對您有幫助?