訪問控制RAM(Resource Access Management)是阿里云提供的管理用戶身份與資源訪問權限的服務。
前置概念
閱讀本文前,您可能需要了解如下概念:
功能特性
統一管理訪問身份及權限
集中式訪問控制
集中管理RAM用戶:管理每個RAM用戶及其登錄密碼或訪問密鑰,為RAM用戶綁定多因素認證MFA(Multi Factor Authentication)設備。
集中控制RAM用戶的訪問權限:控制每個RAM用戶訪問資源的權限。
集中控制RAM用戶的資源訪問方式:確保RAM用戶在指定的時間和網絡環境下,通過安全信道訪問特定的阿里云資源。
外部身份集成
單點登錄SSO(Single Sign On):支持阿里云與企業身份提供商IdP(Identity Provider)進行用戶SSO或角色SSO,使用企業IdP中的賬號登錄阿里云。
釘釘賬號集成:為RAM用戶綁定一個釘釘賬號,然后就可以使用該釘釘賬號登錄阿里云。
SCIM用戶同步:通過SCIM協議將企業內部賬號同步到RAM。更多信息,請參見通過SCIM協議將企業內部賬號同步到阿里云RAM。
精細多元的權限設置能力
豐富的權限策略
RAM提供了多種滿足日常運維人員職責所需要的系統權限策略。如果系統權限策略不能滿足您的需求,您還可以通過圖形化工具快速地創建自定義權限策略。
精細的控制粒度
支持在資源級和操作級向RAM用戶、RAM用戶組和RAM角色授予訪問權限。
支持根據請求源IP地址、日期時間、資源標簽等條件屬性創建更精細的資源訪問控制策略。
支持指定授權范圍為整個阿里云賬號或指定資源組。
云SSO實現多賬號統一身份權限管理
云SSO提供基于阿里云資源目錄RD(Resource Directory)的多賬號統一身份管理與訪問控制。您可以在云SSO中進行一次性統一配置,即可完成面向多個阿里云賬號的身份管理、單點登錄和權限配置。為了實現這一目標,云SSO提供了獨立于RAM的身份目錄,但其權限管理復用了RAM中的系統策略和自定義策略語法。此外,云SSO用戶對RD賬號的訪問,本質上是云SSO用戶扮演每個RD賬號中的RAM角色進行的再一次單點登錄。
免費使用
RAM為免費產品,經過實名認證的阿里云賬號可以直接使用,不收取任何費用。
產品優勢
使用RAM,您可以創建、管理RAM用戶(例如員工、系統或應用程序),并可以控制這些RAM用戶對資源的操作權限。當您的企業存在多用戶協同操作資源的場景時,RAM可以讓您避免與其他用戶共享阿里云賬號密鑰,按需為用戶分配最小權限,從而降低企業的信息安全風險。
應用場景
應用場景 | 描述 |
企業A的某個項目(Project-X)上云,購買了多種阿里云資源,例如:ECS實例、RDS實例、SLB實例和OSS存儲空間等。項目里有多個員工需要操作這些云資源,由于每個員工的工作職責不同,所需權限也不同。 企業A希望能夠達到以下要求:
| |
企業A開發了一款移動應用(App),并購買了對象存儲(OSS)服務。App需要直連OSS上傳或下載數據,但是App運行在用戶自己的移動設備上,這些設備不受企業A的控制。 企業A有如下要求:
| |
企業A購買了多種阿里云資源來開展業務,例如:ECS實例、RDS實例、SLB實例和OSS存儲空間等。企業A希望將部分業務授權給企業B。 企業A有如下要求:
| |
企業A購買了ECS實例,并計劃在ECS中部署企業的應用程序。這些應用程序需要使用訪問密鑰(AccessKey)訪問其它云服務API。 | |
游戲公司A正在開發3個游戲項目,每個游戲項目都會用到多種云資源。公司A只有1個阿里云賬號,該阿里云賬號下有超過100個ECS實例。 公司A有如下要求:
|
使用方式
注冊阿里云賬號后,您可以通過以下方式使用RAM管理用戶身份與資源訪問權限: