為確保您的阿里雲帳號及雲資源使用安全,如非必要,都應避免直接使用阿里雲帳號(即主帳號)來訪問GPU雲端服務器,推薦的做法是使用RAM身份(即RAM使用者和RAM角色)並授予權限原則來進行許可權管理,可有效控制資源的訪問安全。
GPU雲端服務器使用RAM進行存取控制時,其身份管理、權限原則以及服務關聯角色與Elastic Compute Service一致,具體說明如下:
身份管理
使用RAM使用者和RAM角色,通過授權來訪問和管理阿里雲帳號(即主帳號)下的資源。更多資訊,請參見身份管理。
基於身份的權限原則
支援授權系統策略和自訂策略兩種類型,通過為RAM身份綁定某種權限原則,獲得權限原則中指定的存取權限。
系統策略:統一由阿里雲建立和管理,使用者只能使用不能修改,策略的版本更新由阿里雲維護。更多資訊,請參見Elastic Compute Service系統權限原則參考。
自訂策略:使用者可以自主建立、更新和刪除,策略的版本更新由客戶自己維護。更多資訊,請參見Elastic Compute Service自訂權限原則參考。
服務關聯角色
服務關聯角色SLR(Service-linked role)是一種可信實體為阿里雲服務的RAM角色,使用服務關聯角色可以擷取其他雲端服務或雲資源的存取權限。更多資訊,請參見服務關聯角色。
通過RAM角色授予訪問KMS密鑰的許可權
當您需要使用KMS加密ECS資源(例如雲端硬碟、快照或鏡像)時,需要通過RAM角色授予ECS訪問KMS的許可權;或共用加密快照、加密鏡像給其他阿里雲帳號時,需先授予被共用帳號有訪問KMS密鑰的許可權。更多資訊,請參見通過RAM角色授予訪問KMS密鑰的許可權。