基本概念
概念 | 說明 |
訪問控制 | 訪問控制(RAM)是阿里云提供的管理用戶身份與資源訪問權限的服務。 |
阿里云賬號(主賬號) | 開始使用阿里云服務前,首先需要注冊一個阿里云賬號。阿里云賬號是阿里云資源歸屬、資源使用計量計費的基本主體。阿里云賬號為其名下所擁有的資源付費,并對其名下所有資源擁有完全控制權限。 默認情況下,資源只能被阿里云賬號所訪問,任何其他用戶訪問都需要獲得阿里云賬號的顯式授權。阿里云賬號就是操作系統的root或Administrator,所以我們有時稱它為根賬號或主賬號。 |
身份 | 訪問控制(RAM)中有三種身份:RAM用戶、用戶組和RAM角色。其中RAM用戶和用戶組是RAM的一種實體身份類型,RAM角色是一種虛擬用戶身份。 |
RAM用戶(子賬號) | RAM用戶是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程序一一對應。
|
用戶組 | 用戶組是RAM的一種實體身份類型,用戶組可以對職責相同的RAM用戶進行分類并授權,從而更好的管理用戶及其權限。
|
RAM角色 | RAM角色是一種虛擬用戶,與實體用戶(阿里云賬號、RAM用戶和云服務)和教科書式角色(Textbook role)不同。
根據RAM可信實體的不同,RAM支持以下三種類型的角色:
|
默認域名 | 阿里云為每個阿里云賬號分配了一個默認域名,格式為: |
賬號別名(企業別名) | 當RAM用戶登錄時,登錄名稱的后綴表示可以使用賬號別名、默認域名或域別名中的任何一種。 每個阿里云賬號可以在RAM中設置一個全局唯一的賬號別名。賬號別名主要用于RAM用戶登錄,登錄成功后可作為顯示名。 例如:企業可以為其阿里云賬號設置賬號別名為:company1,該阿里云賬號下的RAM用戶alice可以使用alice@company1進行登錄,登錄成功后,用戶的顯示名為:alice@company1。 |
域別名 | 如果您持有公網上可以解析的域名,那么您可以使用該域名替代您的默認域名,該域名稱為域別名。域別名就是指默認域名的別名。 說明 域別名必須經過域名歸屬驗證后才能使用。驗證通過后,您可以使用域別名替代默認域名,用于所有需要使用默認域名的場景。 |
登錄密碼 | 登錄密碼是登錄阿里云的身份憑證,用于證明用戶真實身份的憑證。 說明 登錄密碼不支持查詢,請妥善保管并定期更換。 |
訪問密鑰 | 訪問密鑰指的是訪問身份驗證中用到的AccessKey ID和AccessKey Secret。您可以使用訪問密鑰(或阿里云服務SDK)創建一個API請求,RAM通過使用AccessKey ID和AccessKey Secret對稱加密的方法來驗證某個請求的發送者身份,身份驗證成功后將可以操作相應資源。 AccessKey ID和AccessKey Secret一起使用,AccessKey ID用于標識用戶,AccessKey Secret用于驗證用戶的密鑰。 說明 AccessKey Secret只在創建時顯示,不支持查詢,請妥善保管。 |
多因素認證 | 多因素認證(MFA)是一種簡單有效的最佳安全實踐,在用戶名和密碼之外再增加一層安全保護。這些要素結合起來將為您的賬號提供更高的安全保護。啟用多因素認證后,再次登錄阿里云時,系統將要求輸入兩層安全要素:
|
服務提供商 | 服務提供商(SP)是指利用IdP的身份管理功能,為用戶提供具體服務的應用。SP會使用IdP提供的用戶信息。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供商稱作IdP的信賴方。 |
身份提供商 | 身份提供商(IdP)是一個包含有關外部身份提供商元數據的RAM實體,它可以提供身份管理服務。
|
安全斷言標記語言 | 安全斷言標記語言(SAML 2.0)是實現企業級用戶身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML 2.0已經是目前實現企業級SSO的一種事實標準。 |
單點登錄 | 阿里云支持基于SAML 2.0的單點登錄SSO(Single Sign On),也稱為身份聯合登錄。 企業根據自身需要,使用支持SAML 2.0的企業IdP(例如:AD FS)與阿里云進行SSO。阿里云提供以下兩種基于SAML 2.0協議的SSO方式:
|
元數據文檔 | 元數據文檔由企業IdP提供,一般為XML格式,包含IdP的登錄服務地址、用于驗證簽名的公鑰及斷言格式等信息。 |
SAML斷言 | SAML協議中用于描述認證請求和認證響應的核心元素。例如:用戶的具體屬性就包含在認證響應的斷言里。 |
信賴 | 建立在SP和IdP之間的互信機制,通常由公鑰和私鑰來實現。SP通過可信的方式獲取IdP的SAML元數據,元數據中包含IdP簽發SAML斷言的簽名驗證公鑰,SP則使用公鑰來驗證斷言的完整性。 |
阿里云OAuth 2.0服務 | 對用戶進行認證,接受用戶對應用的授權,生成代表用戶身份的令牌并返回給被授權的應用。 |
OAuth應用 | 獲取用戶授權,并獲取代表用戶身份的令牌,從而可以訪問阿里云。 OAuth 2.0服務目前支持的應用類型包括:
|
OAuth范圍 | OAuth 2.0服務通過OAuth范圍來限定應用扮演用戶登錄阿里云后可以訪問的范圍。 |
權限策略 | 權限策略是用語法結構描述的一組權限的集合,可以精確地描述被授權的資源集、操作集以及授權條件。權限策略是描述權限集的一種簡單語言規范。 在RAM中,權限策略是一種資源實體。RAM支持以下兩種權限策略:
通過為RAM用戶、用戶組或RAM角色綁定權限策略,可以獲得權限策略中指定的訪問權限。 |
權限 | 權限是指是否允許用戶對某種資源執行某種操作,權限分為:允許(Allow)或拒絕(Deny)。 操作分為兩大類:
|
資源 | 資源(Resource)是云服務呈現給用戶與之交互的對象實體的一種抽象,例如:OSS存儲空間或ECS實例等。 |
限制條件 | 限制條件(Condition)是權限策略基本元素之一,表示授權生效的限制條件。 |
操作 | 操作(Action)是權限策略基本元素之一,表示對具體資源的操作。取值為:云服務所定義的API操作名稱。 |
效力 | 效力(Effect)是權限策略基本元素之一,表示授權效力。取值為:允許(Allow)或拒絕(Deny)。 |
被授權主體 | 被授權主體(Principal)是指策略中定義的權限主體,被授權主體可以為RAM用戶、用戶組或RAM角色。 |
資源目錄 | 資源目錄RD(Resource Directory)是阿里云面向企業客戶提供的一套多級賬號和資源關系管理服務。 |
標簽 | 標簽是云資源的標識,可以幫助您從不同維度對具有相同特征的云資源進行分類、搜索和聚合,讓資源管理變得更加輕松。 |
系統標簽 | 由系統自動定義的標簽,只能查看,不能編輯。 |
自定義標簽 | 由用戶自定義的標簽。 |
標簽鍵值對(Key-Value) | 標簽由一個鍵值對(Key-Value)組成,包含標簽鍵(Key)、標簽值(Value)。 |
資源共享 | 資源共享(Resource Sharing)是指多賬號間通過共享的方式將一個賬號下的指定資源共享給一個或多個目標賬號使用。 |
資源所有者 | 資源所有者是資源共享的發起方,也是共享資源的擁有者,通常為資源目錄的企業管理賬號或成員賬號。 |
共享的資源 | 共享的資源通常為某個云服務的某類資源。例如:專有網絡(VPC)的交換機(VSwitch)。 |
資源使用者 | 資源使用者是資源共享的受益方,對共享的資源具有特定的操作權限,通常為資源目錄內的一個或多個成員賬號。 說明 資源使用者對共享資源的具體操作權限,由資源所屬的云服務定義。 |
共享單元 | 共享單元是資源共享的實例。共享單元本身也是一種云資源,擁有獨立的ID和ARN(Aliyun Resource Name)。共享單元包括:資源所有者、資源使用者和共享的資源。 |
資源組 | 資源組(Resource Group)是在阿里云賬號下進行資源分組管理的一種機制。資源組幫助您解決單個云賬號內多項目或多應用的資源分組,以及用戶授權管理的復雜性問題。 |
資源夾 | 資源夾是資源目錄內的組織單元,通常用于指代企業的分公司、業務線或產品項目。每個資源夾下可以放置成員賬號,并允許嵌套子資源夾,最終形成樹形的資源組織關系。 |
Root資源夾 | Root資源夾位于資源目錄的頂層,沒有父資源夾。資源關系依據Root資源夾向下分布。 |
成員賬號 | 在資源目錄內,成員賬號作為資源容器,是一種資源分組單位。成員賬號通常用于指代一個項目或應用,每個成員賬號中的資源相對其他成員賬號中的資源是物理隔離的。您可以通過企業管理賬號授予RAM用戶、RAM用戶組或RAM角色對成員賬號內資源的訪問權限。 成員賬號分為如下兩種類型:
|
企業管理賬號 | 企業管理賬號是資源目錄的超級管理員,也是開通資源目錄的初始賬號,對其創建的資源目錄和成員賬號擁有完全控制權限。只有通過企業實名認證的阿里云賬號才能開通資源目錄,每個資源目錄有且只有一個企業管理賬號。 為了確保企業管理賬號的安全,建議您創建一個新的阿里云賬號作為企業管理賬號,避免將已有用途的云賬號作為企業管理賬號。同時,您可以為企業管理賬號創建一個RAM用戶并授予管理員權限,使用該RAM用戶管理整個資源目錄。資源目錄中的所有操作都必須由企業管理賬號或具有管理員權限的RAM用戶執行。 說明 企業管理賬號位于資源目錄外部,不歸屬于資源目錄,所以不受資源目錄的任何管控策略影響。 |
操作審計 | 操作審計(ActionTrail)幫助您監控并記錄阿里云賬號的活動,包括通過阿里云控制臺、OpenAPI、開發者工具對云上產品和服務的訪問和使用行為。您可以將這些行為事件下載或保存到日志服務或OSS存儲空間,然后進行行為分析、安全分析、資源變更行為追蹤和行為合規性審計等操作。 |
影子跟蹤 | 如果您創建跟蹤的同時追蹤了多個地域的操作事件,則操作審計會在相關地域創建相同配置的跟蹤來收集這些地域的操作事件,這種跟蹤叫做影子跟蹤。 |
平臺事件跟蹤 | 平臺事件跟蹤是阿里云賬號創建的用于記錄平臺操作事件的跟蹤。 |
多賬號跟蹤 | 多賬號跟蹤是企業管理賬號創建的用于記錄所有成員賬號操作事件的跟蹤。多賬號跟蹤會把所有成員賬號的操作事件投遞到多賬號跟蹤設置的OSS存儲空間或SLS Logstore中。 |
單賬號跟蹤 | 單賬號跟蹤是阿里云賬號創建的用于記錄當前賬號操作事件的跟蹤。 |
跟蹤 | 通過設置跟蹤將操作事件保存到指定的OSS存儲空間和SLS Logstore下,便于進一步分析和存儲。根據創建者和作用范圍的不同分為單賬號跟蹤、多賬號跟蹤和平臺事件跟蹤。 |
Home地域 | Home地域是發起創建跟蹤操作的地域。 |
全局事件 | 全局事件是全局服務的操作事件。在操作審計控制臺的事件查詢頁面,選擇任意地域均可看到全量的全局事件。但當事件被投遞到用戶設置的OSS存儲空間時,全局事件與跟蹤的Home地域事件放在同一個目錄下。 |
全局服務 | 全局服務是不區分地域的服務,例如:RAM。全局服務會產出全局事件。 |
平臺操作事件 | 平臺操作事件是阿里云運維團隊針對用戶服務的維護操作所產生的事件。您可以通過平臺操作審計創建跟蹤,記錄此類事件。 |
操作事件 | 操作事件是用戶通過阿里云控制臺、OpenAPI、開發者工具訪問和管控云上服務所產生的事件記錄。操作事件包含時間、人員、資源、操作類型、操作結果、來源IP等信息。 |
配置審計 | 配置審計(Config)是一項資源審計服務,為您提供面向資源的配置歷史追蹤、配置合規審計等能力。面對大量資源,幫您輕松實現基礎設施的自主監管,確保持續性合規。 |
企業版配置審計 | 在云上使用多個企業管理賬號的企業客戶,可將配置審計升級為企業版配置審計,實現跨賬號的中心化合規管理。配置審計與資源目錄相結合,使企業客戶可以在企業管理賬號中對所有成員賬號的資源配置進行合規審計。 |
個人版配置審計 | 如果您無跨賬號合規管理的需求,則您可以使用個人版配置審計,管理單個阿里云賬號下資源的合規審計。 |
等保預檢 | 等保2.0預檢為云上的合規檢測,為您動態且持續地檢測阿里云上資源的合規性,從而避免正式檢測時多次反復整改,幫助您快速通過等保檢測。 |
合規時間線 | 規則評估在資源配置變更發生時觸發,配置時間線會有一個對應的合規時間線,是每次合規評估結果的歷史記錄。合規時間線的合規評估記錄與規則觸發方式有關。
|
規則 | 規則指用于判斷資源配置是否合規的規則函數。配置審計使用函數計算中的函數來承載規則代碼。規則綁定資源類型后,當該資源類型中的資源發生配置變更時,自動觸發規則評估,檢查本次配置變更的合規性。您也可以設置規則定時觸發,配置審計定時為您檢查所有資源的合規性。配置審計支持的規則如下:
|
配置時間線 | 配置審計為您提供每個監控范圍內資源的配置時間線。
|
監控范圍 | 監控范圍指監控資源類型的范圍,監控的粒度是資源類型。
|
資源配置詳情 | 配置審計通過云服務開放的資源查詢接口可獲取當前阿里云賬號下的所有資源。您可以在資源列表中查看各個資源的配置信息,也可以快速跳轉到指定資源的云服務控制臺,對其進行管理。 |
資源類型 | 資源類型是一組實體資源的歸類。例如:云服務器ECS實例的資源類型為ECS實例。資源可以分為以下幾類:
|
云企業網CEN | 云企業網(Cloud Enterprise Network)是承載在阿里云提供的高性能、低延遲的私有全球網絡上的一張高可用網絡。云企業網可幫助您在不同地域VPC間,VPC與本地數據中心間搭建私網通信通道,通過自動路由分發及學習,提高網絡的快速收斂和跨網絡通信的質量和安全性,實現全網資源的互通,幫助您打造一張具有企業級規模和通信能力的互聯網絡。 |
轉發路由器TR | 一個云企業網實例將在每個地域內創建一個轉發路由器(Transit Router),作為您在每個地域內的網絡管理運維中心。轉發路由器可以幫您連接當前地域的網絡實例,作為與同地域或跨地域網絡實例互通的橋梁。轉發路由器也是各個地域內路由表、路由策略、跨地域連接等功能的載體,您可以通過轉發路由器添加路由、設置路由策略等,實現您多樣化的組網和網絡管理需求。 |
專有網絡VPC | 專有網絡VPC(Virtual Private Cloud)是用戶基于阿里云創建的自定義私有網絡,不同的專有網絡之間二層邏輯隔離,用戶可以在自己創建的專有網絡內創建和管理云產品實例,比如ECS、負載均衡、RDS等。專有網絡是您自己獨有的云上私有網絡。您可以完全掌控自己的專有網絡,例如選擇IP地址范圍、配置路由表和網關等,您可以在自己定義的專有網絡中使用阿里云資源如云服務器、云數據庫RDS版和負載均衡等。 |
交換機vSwitch | 交換機(vSwitch)是組成專有網絡的基礎網絡設備,用來連接不同的云資源實例。專有網絡是地域級別的資源,專有網絡不可以跨地域,但包含所屬地域的所有可用區。您可以在每個可用區內創建一個或多個交換機來劃分子網。 |
高速通道EC | 高速通道(Express Connect)用于建立線下IDC和云上CEN間的私網通信通道,為客戶提供一條高靈活度、高質量和高安全性的跨網絡通信鏈路。 |
智能接入網關SAG | 智能接入網關(Smart Access Gateway)是阿里云提供的一站式快速上云解決方案。企業可通過智能接入網關實現Internet就近加密接入,獲得更加智能、更加可靠、更加安全的上云體驗。 |