什么是RAM角色

RAM角色是一種虛擬用戶，可以被授予一組權(quán)限策略。與RAM用戶不同，RAM角色沒有永久身份憑證（登錄密碼或訪問密鑰），需要被一個(gè)可信實(shí)體扮演。扮演成功后，可信實(shí)體將獲得RAM角色的臨時(shí)身份憑證，即安全令牌（STS Token），使用該安全令牌就能以RAM角色身份訪問被授權(quán)的資源。

RAM角色類型

根據(jù)不同的可信實(shí)體，RAM角色分為以下三類：

• 可信實(shí)體為阿里云賬號的RAM角色：允許RAM用戶扮演的角色。扮演角色的RAM用戶可以屬于自己的阿里云賬號，也可以屬于其他阿里云賬號。該類角色主要用于解決跨賬號訪問和臨時(shí)授權(quán)問題。

• 可信實(shí)體為阿里云服務(wù)的RAM角色：允許云服務(wù)扮演的角色。分為普通服務(wù)角色和服務(wù)關(guān)聯(lián)角色兩種。該類角色主要用于解決跨服務(wù)訪問問題。

• 可信實(shí)體為身份提供商的RAM角色：允許可信身份提供商下的用戶所扮演的角色。該類角色主要用于實(shí)現(xiàn)與阿里云的單點(diǎn)登錄（SSO）。

應(yīng)用場景

• 臨時(shí)授權(quán)訪問

  通常情況下，建議您通過服務(wù)端調(diào)用API，盡可能保證訪問密鑰不被泄露。但是有些上傳文件的場景最好采用客戶端直傳的形式，避免服務(wù)端中轉(zhuǎn)帶來的多余開銷。此時(shí)，可以由服務(wù)端下發(fā)臨時(shí)安全令牌（STS Token），客戶端通過臨時(shí)安全令牌（STS Token）進(jìn)行資源直傳。

  更多信息，請參見移動(dòng)應(yīng)用使用臨時(shí)安全令牌訪問阿里云。

• 跨賬號訪問

  當(dāng)您擁有多個(gè)阿里云賬號，例如：賬號A和賬號B，希望實(shí)現(xiàn)賬號A訪問賬號B的指定資源。此時(shí)，您可以在賬號B下創(chuàng)建可信實(shí)體為賬號A的RAM角色，并授權(quán)允許賬號A下的某個(gè)RAM用戶或RAM角色可以扮演該角色，然后通過該角色訪問賬號B的指定資源。

  更多信息，請參見跨阿里云賬號的資源授權(quán)。

• 跨服務(wù)訪問

  在某些場景下，一個(gè)云服務(wù)為了完成自身的某個(gè)功能，需要獲取其他云服務(wù)的訪問權(quán)限。例如：配置審計(jì)（Config）服務(wù)要讀取您的云資源信息，以獲取資源列表和資源配置變更歷史，就需要獲取ECS、RDS等產(chǎn)品的訪問權(quán)限。此時(shí)，您可以創(chuàng)建可信實(shí)體為阿里云服務(wù)的RAM角色解決該問題。推薦您優(yōu)先使用服務(wù)關(guān)聯(lián)角色，對于不支持服務(wù)關(guān)聯(lián)角色的云服務(wù)，請使用普通服務(wù)角色。

  更多信息，請參見支持服務(wù)關(guān)聯(lián)角色的云服務(wù)。

• 單點(diǎn)登錄（角色SSO）

  阿里云與企業(yè)進(jìn)行角色SSO時(shí)，阿里云是服務(wù)提供商（SP），而企業(yè)自有的身份管理系統(tǒng)則是身份提供商（IdP）。通過角色SSO，企業(yè)可以在本地IdP中管理員工信息，無需進(jìn)行阿里云和企業(yè)IdP間的用戶同步，企業(yè)員工將使用指定的RAM角色登錄阿里云。此時(shí)，您可以創(chuàng)建可信實(shí)體為身份提供商的RAM角色解決該問題。

  更多信息，請參見SAML角色SSO概覽和OIDC角色SSO概覽。

基本概念

概念	說明
可信實(shí)體	角色的可信實(shí)體是指可以扮演角色的實(shí)體身份。創(chuàng)建角色時(shí)必須指定可信實(shí)體，角色只能被可信實(shí)體扮演。可信實(shí)體可以是阿里云賬號、阿里云服務(wù)或身份提供商。
角色ARN	角色ARN是角色的全局資源描述符，用來指定具體角色。ARN遵循阿里云ARN的命名規(guī)范，格式為acs:ram::<account-id>:role/<role-name>。其中，<role-name>部分會(huì)將角色的名稱全部轉(zhuǎn)換為小寫。關(guān)于如何查看角色ARN，請參見查看RAM角色。
權(quán)限策略	權(quán)限策略是用語法結(jié)構(gòu)描述的一組權(quán)限的集合，可以精確地描述被授權(quán)的資源集、操作集以及授權(quán)條件。權(quán)限策略是描述權(quán)限集的一種簡單語言規(guī)范。一個(gè)RAM角色可以綁定一組權(quán)限策略，沒有綁定權(quán)限策略的RAM角色可以存在，但不能訪問資源。
扮演角色	扮演角色是實(shí)體用戶獲取角色安全令牌的方法。具體如下： 通過控制臺(tái)扮演角色：一個(gè)實(shí)體用戶登錄控制臺(tái)后，通過切換身份的方式扮演RAM角色。 通過API扮演角色：一個(gè)實(shí)體用戶調(diào)用AssumeRole可以獲得角色的安全令牌，使用安全令牌可以訪問云服務(wù)API。
切換身份	切換身份是在控制臺(tái)中實(shí)體用戶從當(dāng)前登錄身份切換到角色身份的方法。一個(gè)實(shí)體用戶登錄到控制臺(tái)之后，可以切換到被許可扮演的某一種角色身份，然后以角色身份操作云資源。當(dāng)用戶不需要使用角色身份時(shí)，可以從角色身份切換回原來的登錄身份。
安全令牌	安全令牌（STS Token）是角色身份的一種臨時(shí)訪問密鑰。角色身份沒有確定的訪問密鑰，當(dāng)一個(gè)實(shí)體用戶要使用角色時(shí)，必須通過扮演角色來獲取對應(yīng)的角色令牌，然后使用角色令牌來調(diào)用阿里云服務(wù)API。

使用流程

1. 使用阿里云賬號（主賬號）或具有管理員權(quán)限的RAM用戶登錄RAM控制臺(tái)。

2. 創(chuàng)建RAM角色。

   • 創(chuàng)建可信實(shí)體為阿里云賬號的RAM角色

   • 創(chuàng)建可信實(shí)體為阿里云服務(wù)的RAM角色

   • 創(chuàng)建可信實(shí)體為身份提供商的RAM角色

3. 為RAM角色授權(quán)。

   具體操作，請參見為RAM角色授權(quán)。

4. 可信實(shí)體通過控制臺(tái)或調(diào)用API扮演角色并獲取角色的安全令牌。

   • 通過控制臺(tái)扮演RAM角色

   • 通過調(diào)用API扮演RAM角色

5. 可信實(shí)體通過角色身份訪問被授權(quán)的云資源。

使用限制

關(guān)于RAM角色的使用限制，請參見使用限制。