本文介紹您在訪問阿里雲資源前,需要瞭解的阿里雲通用使用者身份及對應的許可權。
身份
阿里雲將使用者身份分為兩種類型:實體使用者身份和虛擬使用者身份。
實體使用者身份
實體使用者身份指有確定的身份ID和身份憑證的身份,可以代表一個實際存在的對象,它通常與某個確定的人、企業或應用程式一一對應。身份憑證包括登入密碼或存取金鑰AK(AccessKey)。實體使用者身份包括阿里雲帳號和存取控制RAM(Resource Access Management)服務中的RAM使用者。通過實體使用者身份訪問雲資源的方式包括:
使用使用者名稱和密碼、多因素認證MFA(Multi-Factor Authentication)通過控制台訪問雲資源。
使用AK通過程式訪問雲資源。
阿里雲帳號和RAM使用者的特點不同。您在訪問阿里雲資源前,請仔細閱讀以下內容。
虛擬使用者身份
虛擬使用者身份指沒有確定的身份憑證(登入密碼或AK)的身份。阿里雲的虛擬使用者身份是指RAM服務中的RAM角色。RAM角色需要被一個可以信任的實體使用者扮演。實體使用者扮演成功後將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用STS Token就能以RAM角色身份訪問被授權的資源。
RAM角色支援的可信實體如下表。
可信實體 | 使用情境 | 相關文檔 |
阿里雲帳號 | 主要用於解決跨帳號訪問和臨時授權問題,僅允許可信阿里雲帳號下的RAM使用者扮演。可信阿里雲帳號既可以是當前使用的阿里雲帳號,也可以是其他的阿里雲帳號。 | |
阿里雲服務 | 該角色主要用於解決跨雲端服務授權訪問的問題,僅允許可信雲端服務扮演。 | |
身份供應商 | 主要用於實現與阿里雲的單點登入(SSO),僅允許可信身份供應商下的使用者扮演。 |
許可權
許可權是指不同使用者身份對具體資源的訪問能力,即在某種條件下允許或拒絕對某些資源執行某些操作。
實體使用者身份許可權
實體使用者身份 | 預設許可權 | 是否需要授權 | 授權說明 |
阿里雲帳號 | 擁有資源的所有許可權 | 否 |
|
RAM使用者 | 無任何許可權 | 建立的RAM使用者只有在被授權之後,才能通過控制台和API訪問並使用雲資源。 | 阿里雲是通過RAM服務為不同身份綁定權限原則的方式實現授權。權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。 RAM服務支援以下兩種權限原則:
您通過為RAM使用者(或RAM使用者組)綁定權限原則,可以使其獲得權限原則中指定的存取權限。詳情請參見為RAM使用者授權(或為RAM使用者組授權)。 |
虛擬使用者身份許可權
阿里雲的虛擬使用者身份RAM角色預設沒有任何許可權。
建立的RAM角色在指定可信實體後,只有在被授權之後,才能通過控制台和API訪問並使用雲資源。
您可以通過為RAM角色綁定權限原則,使其獲得權限原則中指定的存取權限。詳情請參見文檔:為RAM角色授權。
相關文檔
關於支援RAM服務的雲端服務及對應的系統權限原則,請參見支援RAM的雲端服務。