本文解釋了RAM的基本概念,幫助您正確理解和使用RAM。
身份管理相關概念
概念 | 說明 |
阿里云賬號(Alibaba Cloud account) | 開始使用阿里云服務前,首先需要注冊一個阿里云賬號。阿里云賬號是阿里云資源歸屬、資源使用計量計費的基本主體。阿里云賬號為其名下所擁有的資源付費,并對其名下所有資源擁有完全控制權限。 默認情況下,資源只能被阿里云賬號所訪問,任何其他用戶訪問都需要獲得阿里云賬號的顯式授權。阿里云賬號就是操作系統的root或Administrator,所以我們有時稱它為根賬號或主賬號。 為確保阿里云賬號的安全,如非必要,避免使用阿里云賬號登錄控制臺以及為其創建訪問密鑰(AccessKey)。推薦您在阿里云賬號下創建一個RAM用戶,并授予管理員權限,后續使用該RAM用戶執行管理操作。 |
賬號管理員 | 賬號管理員具備賬號下所有資源的管理權限。賬號管理員可以是阿里云賬號(主賬號),也可以是主賬號下擁有AdministratorAccess權限的RAM用戶,強烈推薦您使用RAM用戶充當賬號管理員。更多信息,請參見創建賬號管理員。 |
RAM管理員 | RAM管理員具備賬號下RAM資源的管理權限。RAM管理員可以是阿里云賬號(主賬號),也可以是主賬號下擁有AliyunRAMFullAccess權限的RAM用戶,強烈推薦您使用RAM用戶充當RAM管理員。 |
身份(Identity) | 訪問控制(RAM)中有三種身份:RAM用戶、用戶組和RAM角色。其中RAM用戶和用戶組是RAM的一種實體身份類型,RAM角色是一種虛擬用戶身份。 |
默認域名(Default domain name) | 阿里云為每個阿里云賬號分配了一個默認域名,格式為 關于如何設置默認域名,請參見查看和修改默認域名。 |
賬號別名(Account alias) | 賬號別名也叫企業別名,賬號別名的默認值為阿里云賬號ID 例如:企業可以為其阿里云賬號設置賬號別名為:company1,該阿里云賬號下的RAM用戶alice可以使用alice@company1登錄阿里云控制臺。 關于如何設置賬號別名,請參見查看和修改默認域名。 |
域別名(Domain alias) | 如果您持有公網上可以解析的域名,那么您可以使用該域名替代您的默認域名,該域名稱為域別名。域別名就是指默認域名的別名。 說明 域別名必須經過域名歸屬驗證后才能使用。驗證通過后,您可以使用域別名替代默認域名,用于所有需要使用默認域名的場景。 關于如何設置域別名,請參見創建并驗證域別名。 |
RAM用戶(RAM user) | RAM用戶也叫RAM賬號,是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程序一一對應。RAM用戶具備以下特點:
關于如何創建RAM用戶,請參見創建RAM用戶。 |
登錄密碼(Password) | 登錄密碼是登錄阿里云的身份憑證,用于證明用戶真實身份的憑證。 說明 登錄密碼不支持查詢,請妥善保管并定期更換。 關于如何設置RAM用戶的登錄密碼,請參見修改RAM用戶登錄密碼。 |
訪問密鑰(AccessKey) | 訪問密鑰AccessKey(簡稱AK)是阿里云提供給用戶的永久訪問憑據,一組由AccessKey ID和AccessKey Secret組成的密鑰對。
AccessKey ID和AccessKey Secret根據算法由訪問控制(RAM)生成,阿里云對AccessKey ID和AccessKey Secret的存儲及傳輸均進行加密。 AccessKey不用于控制臺登錄,用于通過開發工具(API、CLI、SDK、Terraform等)訪問阿里云時,發起的請求會攜帶AccessKey ID和AccessKey Secret加密請求內容生成的簽名,進行身份驗證及請求合法性校驗。 關于如何創建訪問密鑰,請參見創建AccessKey。 |
多因素認證(MFA) | 多因素認證是一種簡單有效的最佳安全實踐,在用戶名和密碼之外再增加一層安全保護。這些要素結合起來將為您的賬號提供更高的安全保護。啟用多因素認證后,再次登錄阿里云時,系統將要求輸入兩層安全要素:
關于如何設置多因素認證,請參見為阿里云賬號綁定MFA設備和為RAM用戶綁定MFA設備。 |
用戶組(RAM user group) | 用戶組是RAM的一種實體身份類型,用戶組可以對職責相同的RAM用戶進行分類并授權,從而更好地管理用戶及其權限。 |
RAM角色(RAM role) | RAM角色是一種虛擬用戶,可以被授予一組權限策略。與RAM用戶不同,RAM角色沒有永久身份憑證(登錄密碼或訪問密鑰),需要被一個可信實體扮演。扮演成功后,可信實體將獲得RAM角色的臨時身份憑證,即安全令牌(STS Token),使用該安全令牌就能以RAM角色身份訪問被授權的資源。 根據不同的可信實體類型,RAM角色分為以下幾種:
|
服務提供商(SP) | 利用IdP的身份管理功能,為用戶提供具體服務的應用。SP會使用IdP提供的用戶信息。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供商稱作IdP的信賴方。 |
身份提供商(IdP) | 一個包含有關外部身份提供商元數據的RAM實體,身份提供商可以提供身份管理服務。
|
安全斷言標記語言(SAML 2.0) | 實現企業級用戶身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML 2.0已經是目前實現企業級SSO的一種事實標準。 |
單點登錄(SSO) | 阿里云支持基于SAML 2.0和OIDC的SSO(Single Sign On,單點登錄),也稱為身份聯合登錄。阿里云提供以下兩種SSO方式:
|
元數據文檔(Metadata file) | 元數據文檔由企業IdP提供,一般為XML格式,包含IdP的登錄服務地址、用于驗證簽名的公鑰及斷言格式等信息。 |
SAML斷言(SAML assertion) | SAML協議中用于描述認證請求和認證響應的核心元素。例如:用戶的具體屬性就包含在認證響應的斷言里。 |
信賴(Trust) | 建立在SP和IdP之間的互信機制,通常由公鑰和私鑰來實現。SP通過可信的方式獲取IdP的SAML元數據,元數據中包含IdP簽發SAML斷言的簽名驗證公鑰,SP則使用公鑰來驗證斷言的完整性。 |
阿里云OAuth 2.0服務(Alibaba Cloud OAuth 2.0 service) | 對用戶進行認證,接受用戶對應用的授權,生成代表用戶身份的令牌并返回給被授權的應用。 |
OAuth應用(OAuth application) | 獲取用戶授權,并獲取代表用戶身份的令牌,從而可以訪問阿里云。 OAuth 2.0服務目前支持的應用類型包括:
|
OAuth范圍(Scope) | OAuth 2.0服務通過OAuth范圍來限定應用扮演用戶登錄阿里云后可以訪問的范圍。 |
訪問控制相關概念
概念 | 說明 |
權限(Permission) | 權限是指是否允許用戶對某種資源執行某種操作,權限分為:允許(Allow)或拒絕(Deny)。 操作分為兩大類:
|
權限策略(Policy) | 權限策略是用語法結構描述的一組權限的集合,可以精確地描述被授權的資源集、操作集以及授權條件。權限策略是描述權限集的一種簡單語言規范。關于RAM支持的語言規范,請參見權限策略語法和結構。 在RAM中,權限策略是一種資源實體。RAM支持以下兩種權限策略:
通過為RAM用戶、用戶組或RAM角色綁定權限策略,可以獲得權限策略中指定的訪問權限。更多信息,請參見為RAM用戶授權、為RAM用戶組授權和為RAM角色授權。 |
授權主體(Principal) | 獲得策略中定義的權限主體,授權主體可以為RAM用戶、用戶組或RAM角色。 |
效果(Effect) | 權限策略基本元素之一,表示授權效果。取值為:允許(Allow)或拒絕(Deny)。 |
操作(Action) | 權限策略基本元素之一,表示對具體資源的操作。取值為:云服務所定義的API操作名稱。 |
條件(Condition) | 權限策略基本元素之一,表示授權生效的條件。 |
資源(Resource) | 資源是云服務呈現給用戶與之交互的對象實體的一種抽象,例如:OSS存儲空間或ECS實例等。 |
ARN(Aliyun Resource Name) | ARN是阿里云為每個資源定義的全局資源名稱。在RAM授權時,ARN遵循的格式為
|