事件總線EventBridge支持云賬戶(主賬號)給RAM用戶(子賬號)授予資源級別的權限,避免因暴露阿里云賬號(主賬號)密鑰造成的安全風險。僅限有權限的RAM用戶在事件總線EventBridge的控制臺上管理資源,以及通過SDK/API發布事件。

應用場景

企業A購買了事件總線EventBridge服務,企業A的員工需要操作這些服務所涉及的資源,例如事件規則、事件總線(EventBus)等資源。由于每個員工的工作職責不一樣,需要的權限也不一樣。

具體場景說明如下:

  • 出于安全或信任的考慮,企業A不希望將云賬號密鑰直接透露給員工,而希望能給員工創建相應的用戶賬號。
  • 用戶賬號只能在授權的前提下操作資源,不需要對用戶賬號單獨計量計費,所有開銷都計入企業A云賬號名下。
  • 企業A隨時可以撤銷用戶賬號的權限,也可以隨時刪除其創建的用戶賬號。

此種場景下,A的云賬號可以將需要員工進行操作的資源進行細粒度的權限分隔。

方式一:在用戶頁面為RAM用戶授權

  1. 使用阿里云賬號登錄RAM控制臺
  2. 在左側導航欄,選擇身份管理 > 用戶
  3. 用戶頁面,單擊目標RAM用戶操作列的添加權限
  4. 添加權限面板,為RAM用戶添加權限。
    1. 選擇授權應用范圍。
      • 整個云賬號:權限在當前阿里云賬號內生效。
      • 指定資源組:權限在指定的資源組內生效。
        說明 指定資源組授權生效的前提是該云服務已支持資源組。更多信息,請參見支持資源組的云服務
    2. 輸入授權主體。
      授權主體即需要授權的RAM用戶,系統會自動填入當前的RAM用戶,您也可以添加其他RAM用戶。
    3. 選擇權限策略。
      說明 每次最多綁定5條策略,如需綁定更多策略,請分次操作。
  5. 單擊確定
  6. 單擊完成

方式二:在授權頁面為RAM用戶授權

  1. 使用阿里云賬號登錄RAM控制臺
  2. 在左側導航欄,選擇權限管理 > 授權
  3. 授權頁面,單擊新增授權
  4. 新增授權頁面,為RAM用戶添加權限。
    1. 選擇授權應用范圍。
      • 整個云賬號:權限在當前阿里云賬號內生效。
      • 指定資源組:權限在指定的資源組內生效。
        說明 指定資源組授權生效的前提是該云服務已支持資源組。更多信息,請參見支持資源組的云服務
    2. 輸入授權主體。
      授權主體即需要授權的RAM用戶。
    3. 選擇權限策略。
      說明 每次最多綁定5條策略,如需綁定更多策略,請分次操作。
  5. 單擊確定
  6. 單擊完成

更多信息

什么是RAM

后續步驟

使用阿里云賬號(主賬號)創建好RAM用戶后,即可將RAM用戶的登錄名稱及密碼或者AccessKey信息分發給其他用戶。其他用戶可以按照以下步驟使用RAM用戶登錄控制臺或調API。
  • 登錄控制臺。
    1. 在瀏覽器中打開RAM用戶登錄入口
    2. RAM用戶登錄頁面上,輸入RAM用戶登錄名稱,單擊下一步,并輸入RAM用戶密碼,然后單擊登錄
      說明 RAM用戶登錄名稱的格式為<$username>@<$AccountAlias><$username>@<$AccountAlias>.onaliyun.com<$AccountAlias>為賬號別名,如果沒有設置賬號別名,則默認值為阿里云賬號(主賬號)的ID。
    3. 在阿里云控制臺頁面上單擊有權限的產品,即可訪問控制臺。
  • 使用RAM用戶的AccessKey調用API。

    在代碼中使用RAM用戶的AccessKeyId和AccessKeySecret即可。