概念

說明

阿里云賬號（Alibaba Cloud account）

開始使用阿里云服務前，首先需要注冊一個阿里云賬號。阿里云賬號是阿里云資源歸屬、資源使用計量計費的基本主體。阿里云賬號為其名下所擁有的資源付費，并對其名下所有資源擁有完全控制權限。

默認情況下，資源只能被阿里云賬號所訪問，任何其他用戶訪問都需要獲得阿里云賬號的顯式授權。阿里云賬號就是操作系統的root或Administrator，所以我們有時稱它為根賬號或主賬號。

為確保阿里云賬號的安全，如非必要，避免使用阿里云賬號登錄控制臺以及為其創建訪問密鑰（AccessKey）。推薦您在阿里云賬號下創建一個RAM用戶，并授予管理員權限，后續使用該RAM用戶執行管理操作。

賬號管理員

賬號管理員具備賬號下所有資源的管理權限。賬號管理員可以是阿里云賬號（主賬號），也可以是主賬號下擁有AdministratorAccess權限的RAM用戶，強烈推薦您使用RAM用戶充當賬號管理員。更多信息，請參見創建賬號管理員。

RAM管理員

RAM管理員具備賬號下RAM資源的管理權限。RAM管理員可以是阿里云賬號（主賬號），也可以是主賬號下擁有AliyunRAMFullAccess權限的RAM用戶，強烈推薦您使用RAM用戶充當RAM管理員。

身份（Identity）

訪問控制（RAM）中有三種身份：RAM用戶、用戶組和RAM角色。其中RAM用戶和用戶組是RAM的一種實體身份類型，RAM角色是一種虛擬用戶身份。

默認域名（Default domain name）

阿里云為每個阿里云賬號分配了一個默認域名，格式為<AccountAlias>.onaliyun.com，其中<AccountAlias>表示賬號別名。默認域名可作為RAM用戶登錄或單點登錄（SSO）等場景下該阿里云賬號的唯一標識符。

關于如何設置默認域名，請參見查看和修改默認域名。

賬號別名（Account alias）

賬號別名也叫企業別名，賬號別名的默認值為阿里云賬號ID<AccountID>。賬號別名即默認域名中的<AccountAlias>，在設置默認域名時，相當于設置賬號別名。在用于RAM用戶登錄時，賬號別名和默認域名等價，使用任何一個均可完成登錄。

例如：企業可以為其阿里云賬號設置賬號別名為：company1，該阿里云賬號下的RAM用戶alice可以使用alice@company1登錄阿里云控制臺。

關于如何設置賬號別名，請參見查看和修改默認域名。

域別名（Domain alias）

如果您持有公網上可以解析的域名，那么您可以使用該域名替代您的默認域名，該域名稱為域別名。域別名就是指默認域名的別名。

關于如何設置域別名，請參見創建并驗證域別名。

RAM用戶（RAM user）

RAM用戶也叫RAM賬號，是RAM的一種實體身份類型，有確定的身份ID和身份憑證，它通常與某個確定的人或應用程序一一對應。RAM用戶具備以下特點：

• 一個阿里云賬號下可以創建多個RAM用戶，對應企業內的員工、系統或應用程序。

• RAM用戶不擁有資源，不能獨立計量計費，由所屬阿里云賬號統一控制和付費。

• RAM用戶歸屬于阿里云賬號，只能在所屬阿里云賬號的空間下可見，而不是獨立的阿里云賬號。

• RAM用戶必須在獲得阿里云賬號的授權后才能登錄控制臺或使用API操作阿里云賬號下的資源。

關于如何創建RAM用戶，請參見創建RAM用戶。

登錄密碼（Password）

登錄密碼是登錄阿里云的身份憑證，用于證明用戶真實身份的憑證。

關于如何設置RAM用戶的登錄密碼，請參見修改RAM用戶登錄密碼。

訪問密鑰（AccessKey）

訪問密鑰AccessKey（簡稱AK）是阿里云提供給用戶的永久訪問憑據，一組由AccessKey ID和AccessKey Secret組成的密鑰對。

• AccessKey ID：用于標識用戶。

• AccessKey Secret：是一個用于驗證您擁有該AccessKey ID的密碼。

AccessKey ID和AccessKey Secret根據算法由訪問控制（RAM）生成，阿里云對AccessKey ID和AccessKey Secret的存儲及傳輸均進行加密。

AccessKey不用于控制臺登錄，用于通過開發工具（API、CLI、SDK、Terraform等）訪問阿里云時，發起的請求會攜帶AccessKey ID和AccessKey Secret加密請求內容生成的簽名，進行身份驗證及請求合法性校驗。

關于如何創建訪問密鑰，請參見創建AccessKey。

多因素認證（MFA）

多因素認證是一種簡單有效的最佳安全實踐，在用戶名和密碼之外再增加一層安全保護。這些要素結合起來將為您的賬號提供更高的安全保護。啟用多因素認證后，再次登錄阿里云時，系統將要求輸入兩層安全要素：

1. 第一層安全要素：輸入用戶名和密碼。

2. 第二層安全要素：輸入虛擬MFA設備生成的驗證碼，或通過U2F安全密鑰認證。

關于如何設置多因素認證，請參見為阿里云賬號綁定MFA設備和為RAM用戶綁定MFA設備。

用戶組（RAM user group）

用戶組是RAM的一種實體身份類型，用戶組可以對職責相同的RAM用戶進行分類并授權，從而更好地管理用戶及其權限。

• 在RAM用戶職責發生變化時，只需將其移動到相應職責的用戶組下，不會對其他RAM用戶產生影響。

  關于如何創建用戶組，請參見創建RAM用戶組。

• 當用戶組的權限發生變化時，只需修改用戶組的權限策略，即可應用到所有RAM用戶。

  關于如何為用戶組授權，請參見為RAM用戶組授權。

RAM角色（RAM role）

RAM角色是一種虛擬用戶，可以被授予一組權限策略。與RAM用戶不同，RAM角色沒有永久身份憑證（登錄密碼或訪問密鑰），需要被一個可信實體扮演。扮演成功后，可信實體將獲得RAM角色的臨時身份憑證，即安全令牌（STS Token），使用該安全令牌就能以RAM角色身份訪問被授權的資源。

根據不同的可信實體類型，RAM角色分為以下幾種：

• 可信實體為阿里云賬號的RAM角色：該角色主要用于解決跨賬號訪問和臨時授權問題，僅允許可信阿里云賬號下的RAM用戶扮演?？尚虐⒗镌瀑~號既可以是當前賬號，也可以是其他賬號。具體操作，請參見創建可信實體為阿里云賬號的RAM角色。

• 可信實體為阿里云服務的RAM角色：該角色主要用于解決跨云服務授權訪問的問題，僅允許可信云服務扮演。具體操作，請參見創建可信實體為阿里云服務的RAM角色和服務關聯角色。

• 可信實體為身份提供商的RAM角色：該角色主要用于實現與阿里云的單點登錄（SSO），僅允許可信身份提供商下的用戶扮演。具體操作，請參見創建可信實體為身份提供商的RAM角色。

服務提供商（SP）

利用IdP的身份管理功能，為用戶提供具體服務的應用。SP會使用IdP提供的用戶信息。一些非SAML協議的身份系統（例如：OpenID Connect），也把服務提供商稱作IdP的信賴方。

身份提供商（IdP）

一個包含有關外部身份提供商元數據的RAM實體，身份提供商可以提供身份管理服務。

• 企業本地IdP：Microsoft Active Directory Federation Service（AD FS）以及Shibboleth等。

• Cloud IdP：Azure AD、Google Workspace、Okta以及OneLogin等。

安全斷言標記語言（SAML 2.0）

實現企業級用戶身份認證的標準協議，它是SP和IdP之間實現溝通的技術實現方式之一。SAML 2.0已經是目前實現企業級SSO的一種事實標準。

單點登錄（SSO）

阿里云支持基于SAML 2.0和OIDC的SSO（Single Sign On，單點登錄），也稱為身份聯合登錄。阿里云提供以下兩種SSO方式：

• 用戶SSO

  阿里云通過IdP頒發的SAML斷言確定企業用戶與阿里云RAM用戶的對應關系 。企業用戶登錄后，使用該RAM用戶訪問阿里云資源。更多信息，請參見用戶SSO概覽。

• 角色SSO

  支持基于SAML 2.0和OIDC的兩種角色SSO：

  • SAML角色SSO：阿里云通過IdP頒發的SAML斷言確定企業用戶在阿里云上可以使用的RAM角色。企業用戶登錄后，使用SAML斷言中指定的RAM角色訪問阿里云資源。請參見SAML角色SSO概覽。

  • OIDC角色SSO：企業用戶通過IdP簽發的OIDC令牌（OIDC Token），調用阿里云API扮演指定角色并換取角色臨時身份憑證（STS Token），然后使用STS Token安全地訪問阿里云資源。更多信息，請參見OIDC角色SSO概覽。

元數據文檔（Metadata file）

元數據文檔由企業IdP提供，一般為XML格式，包含IdP的登錄服務地址、用于驗證簽名的公鑰及斷言格式等信息。

SAML斷言（SAML assertion）

SAML協議中用于描述認證請求和認證響應的核心元素。例如：用戶的具體屬性就包含在認證響應的斷言里。

信賴（Trust）

建立在SP和IdP之間的互信機制，通常由公鑰和私鑰來實現。SP通過可信的方式獲取IdP的SAML元數據，元數據中包含IdP簽發SAML斷言的簽名驗證公鑰，SP則使用公鑰來驗證斷言的完整性。

阿里云OAuth 2.0服務（Alibaba Cloud OAuth 2.0 service）

對用戶進行認證，接受用戶對應用的授權，生成代表用戶身份的令牌并返回給被授權的應用。

OAuth應用（OAuth application）

獲取用戶授權，并獲取代表用戶身份的令牌，從而可以訪問阿里云。

OAuth 2.0服務目前支持的應用類型包括：

• WebApp：指基于瀏覽器交互的網絡應用。

• NativeApp：指操作系統中運行的本地應用，主要為運行在桌面操作系統或移動操作系統中的應用。

• ServerApp：指直接訪問阿里云服務，而無需依賴用戶登錄的應用，目前僅支持基于SCIM協議的用戶同步應用。

OAuth范圍（Scope）

OAuth 2.0服務通過OAuth范圍來限定應用扮演用戶登錄阿里云后可以訪問的范圍。

概念

說明

權限（Permission）

權限是指是否允許用戶對某種資源執行某種操作，權限分為：允許（Allow）或拒絕（Deny）。

操作分為兩大類：

• 資源管控操作：指云資源的生命周期管理及運維管理操作，所面向的用戶一般是資源購買者或組織內的運維員工。例如：ECS實例的創建、停止或重啟，OSS存儲空間的創建、修改或刪除等。

• 資源使用操作：指使用資源的核心功能，所面向的用戶一般是組織內的研發員工或應用系統。例如：ECS實例操作系統中的用戶操作，OSS存儲空間的數據上傳或下載。

  說明

  • 對于彈性計算和數據庫等產品，資源管控操作可以通過RAM來管理，而資源使用操作是在每個產品的實例內進行管理。例如：ECS實例操作系統的權限控制或MySQL數據庫提供的權限控制。

  • 對于存儲類等產品，例如：OSS或Table Store等，資源管控操作和資源使用操作都可以通過RAM來實現。

權限策略（Policy）

權限策略是用語法結構描述的一組權限的集合，可以精確地描述被授權的資源集、操作集以及授權條件。權限策略是描述權限集的一種簡單語言規范。關于RAM支持的語言規范，請參見權限策略語法和結構。

在RAM中，權限策略是一種資源實體。RAM支持以下兩種權限策略：

• 阿里云管理的系統策略：統一由阿里云創建，用戶只能使用不能修改，策略的版本更新由阿里云維護。

• 客戶管理的自定義策略：用戶可以自主創建、更新和刪除，策略的版本更新由客戶自己維護。

通過為RAM用戶、用戶組或RAM角色綁定權限策略，可以獲得權限策略中指定的訪問權限。更多信息，請參見為RAM用戶授權、為RAM用戶組授權和為RAM角色授權。

授權主體（Principal）

獲得策略中定義的權限主體，授權主體可以為RAM用戶、用戶組或RAM角色。

效果（Effect）

權限策略基本元素之一，表示授權效果。取值為：允許（Allow）或拒絕（Deny）。

操作（Action）

權限策略基本元素之一，表示對具體資源的操作。取值為：云服務所定義的API操作名稱。

條件（Condition）

權限策略基本元素之一，表示授權生效的條件。

資源（Resource）

資源是云服務呈現給用戶與之交互的對象實體的一種抽象，例如：OSS存儲空間或ECS實例等。

ARN（Aliyun Resource Name）

ARN是阿里云為每個資源定義的全局資源名稱。在RAM授權時，ARN遵循的格式為acs:<ram-code>:<region>:<account-id>:<relative-id>，字段含義如下：

• acs：Alibaba Cloud Service的首字母縮寫，表示阿里云的公共云平臺。

• ram-code：云服務的RAM代碼。更多信息，請參見支持RAM的云服務的RAM代碼列。

• region：地域信息。對于全局資源（無需指定地域就可以訪問的資源），該字段用星號（*）表示。更多信息，請參見地域和可用區。

• account-id：阿里云賬號ID。例如：123456789012****。

• relative-id：與云服務相關的資源描述部分，其語義由具體云服務指定。這部分的格式支持樹狀結構（類似文件路徑）。以OSS為例，表示一個OSS對象的格式為：relative-id = "mybucket/dir1/object1.jpg"。