本文介紹如何使用存取控制RAM(Resource Access Management)在帳號層級上控制對Cloud Storage Gateway資源的訪問,具體通過建立RAM使用者(組)並授予特定權限原則實現。
背景資訊
存取控制RAM是阿里雲提供的資源存取控制服務,使用RAM還可以讓您避免與其他使用者共用雲帳號密鑰(AccessKey),按需為使用者指派最小許可權,從而降低您的公司資訊安全風險。更多詳情,請參見什麼是存取控制。
使用者:如果您建立了多個Cloud Storage Gateway,您的組織裡有多個使用者需要使用這些網關,您可以建立一個策略允許部分使用者使用這些網關。避免了將同一個AccessKey泄露給多人的風險。
使用者組:您可以建立多個使用者組,並授予不同權限原則,起到批量管理的效果。
建立RAM使用者
使用主帳號登入 RAM存取控制台。
在左側導覽列中,選擇,單擊建立使用者。
配置使用者帳號資訊。
配置訪問方式,勾選控制台訪問或OpenAPI調用訪問。
勾選自訂密碼,輸入一個初始密碼,並勾選使用者在下次登入時必須重設密碼。
(可選)啟動多因素認證裝置,單擊確定。
儲存產生的帳號、密碼、AccessKeyID和AccessKeySecret。
說明請及時儲存該 AccessKey 資訊,並妥善保管。
建立使用者組
如果您需要建立多個RAM使用者,您可以選擇通過建立使用者組對職責相同的RAM使用者進行分類並授權,從而更方便地系統管理使用者及其許可權。
使用主帳號登入 RAM存取控制台。
在左側導覽列中,選擇,單擊建立使用者組。
填寫使用者組名稱和顯示名稱,單擊確定。
為RAM使用者/使用者組分配授權策略
建立的RAM使用者/使用者組預設沒有任何操作許可權,只有在被授權策略之後,才能通過控制台和API操作資源。此處以RAM使用者為例,介紹授權操作步驟。
在使用者頁面,選擇要授權的子帳號,單擊添加許可權。
在添加許可權頁面,添加如下許可權,為子帳號授權。
雲上網關需添加如下4種許可權,本地網關只需添加AliyunHCSSGWFullAccess和AliyunOSSFullAccess許可權。
AliyunHCSSGWFullAccess:管理Cloud Storage Gateway服務(HCS-SGW)的許可權
AliyunOSSFullAccess:管理Object Storage Service服務(OSS)許可權
AliyunVPCFullAccess:管理Virtual Private Cloud的許可權
AliyunECSFullAccess:管理雲端服務器服務(ECS)的許可權
