全部產品
Search
文件中心

Application Real-Time Monitoring Service:存取控制概述

更新時間:Jul 06, 2024

藉助存取控制RAM的RAM使用者,您可以實現許可權分割的目的,按需為RAM使用者賦予不同許可權,並避免因暴露阿里雲帳號密鑰造成的安全風險。

應用情境

以下是需用到存取控制RAM的典型情境。

  • 藉助RAM使用者實現分權

    企業A的某個專案(Project-X)上雲,購買了多種阿里雲產品,例如:ECS執行個體、RDS執行個體、SLB執行個體、OSS儲存空間等。專案裡有多個員工需要操作這些雲資源,由於每個員工的工作職責不同,需要的許可權也不一樣。企業A希望能夠達到以下要求:

    • 出於安全或信任的考慮,A不希望將雲帳號密鑰直接透露給員工,而希望能給員工建立獨立帳號。
    • 使用者帳號只能在授權的前提下操作資源。A隨時可以撤銷使用者帳號身上的許可權,也可以隨時刪除其建立的使用者帳號。
    • 不需要對使用者帳號進行獨立的計量計費,所有開銷都由A來承擔。

    針對以上需求,可以藉助RAM的授權管理功能實現使用者分權及資源統一管理。

  • 藉助RAM角色實現跨帳號訪問資源

    雲帳號A和雲帳號B分別代表不同的企業。A購買了多種雲資源來開展業務,例如:ECS執行個體、RDS執行個體、SLB執行個體、OSS儲存空間等。

    • 企業A希望能專註於業務系統,而將雲資源營運、監控、管理等任務授權給企業B。
    • 企業B還可以進一步將A的資源存取權限分配給B的某一個或多個員工,B可以精細控制其員工對資源的操作許可權。
    • 如果A和B的這種營運合約關聯終止,A隨時可以撤銷對B的授權。

    針對以上需求,可以藉助RAM角色實現跨帳號授權及資源訪問的控制。

權限原則

ARMS支援的系統權限原則如下所示。

權限原則

類型

說明

AliyunARMSFullAccess

系統

應用即時監控服務ARMS的完整許可權

AliyunARMSReadOnlyAccess

系統

應用即時監控服務ARMS的唯讀許可權

重要

為了實現對ARMS所有功能的唯讀許可權,除了添加AliyunARMSReadOnlyAccess權限原則外,還需要再為特定的資源群組配置ReadTraceApp許可權,否則ARMS將無法展示資源群組鑒權下的應用列表。

更多資訊