藉助存取控制RAM的RAM使用者,您可以實現許可權分割的目的,按需為RAM使用者賦予不同許可權,並避免因暴露阿里雲帳號密鑰造成的安全風險。
應用情境
以下是需用到存取控制RAM的典型情境。
藉助RAM使用者實現分權
企業A的某個專案(Project-X)上雲,購買了多種阿里雲產品,例如:ECS執行個體、RDS執行個體、SLB執行個體、OSS儲存空間等。專案裡有多個員工需要操作這些雲資源,由於每個員工的工作職責不同,需要的許可權也不一樣。企業A希望能夠達到以下要求:
- 出於安全或信任的考慮,A不希望將雲帳號密鑰直接透露給員工,而希望能給員工建立獨立帳號。
- 使用者帳號只能在授權的前提下操作資源。A隨時可以撤銷使用者帳號身上的許可權,也可以隨時刪除其建立的使用者帳號。
- 不需要對使用者帳號進行獨立的計量計費,所有開銷都由A來承擔。
針對以上需求,可以藉助RAM的授權管理功能實現使用者分權及資源統一管理。
藉助RAM角色實現跨帳號訪問資源
雲帳號A和雲帳號B分別代表不同的企業。A購買了多種雲資源來開展業務,例如:ECS執行個體、RDS執行個體、SLB執行個體、OSS儲存空間等。
- 企業A希望能專註於業務系統,而將雲資源營運、監控、管理等任務授權給企業B。
- 企業B還可以進一步將A的資源存取權限分配給B的某一個或多個員工,B可以精細控制其員工對資源的操作許可權。
- 如果A和B的這種營運合約關聯終止,A隨時可以撤銷對B的授權。
針對以上需求,可以藉助RAM角色實現跨帳號授權及資源訪問的控制。
權限原則
ARMS支援的系統權限原則如下所示。
權限原則 | 類型 | 說明 |
AliyunARMSFullAccess | 系統 | 應用即時監控服務ARMS的完整許可權 |
AliyunARMSReadOnlyAccess | 系統 | 應用即時監控服務ARMS的唯讀許可權 重要 為了實現對ARMS所有功能的唯讀許可權,除了添加AliyunARMSReadOnlyAccess權限原則外,還需要再為特定的資源群組配置ReadTraceApp許可權,否則ARMS將無法展示資源群組鑒權下的應用列表。 |