全部產品
Search

搜尋本產品

    :物聯網平台RAM授權說明

    文件中心

    :物聯網平台RAM授權說明

    更新時間:Jun 30, 2024

    如果您需要團隊或部門成員的精細化控制許可權,可為阿里雲帳號(主帳號)建立RAM使用者或RAM角色,並為其授予自訂權限原則,避免多使用者共用阿里雲帳號(主帳號)密碼或存取金鑰(AccessKey),降低安全風險。本文介紹物聯網平台RAM服務的權限原則規則、RAM授權操作(Action)列表,以及如何通過RAM使用者實現精細化授權。

    背景資訊

    RAM和STS介紹和使用情境說明,請參見RAM和STS介紹。相關概念詳細說明,請參見存取控制的基本概念

    RAM服務說明

    服務

    說明

    RAM雲端服務名稱

    物聯網平台。

    RAM代碼

    iot

    是否支援在控制台進行存取控制

    支援。

    是否支援通過API進行存取控制

    支援。

    授權粒度

    操作層級,表示API層級的授權。一個RAM使用者或RAM角色可以對指定雲端服務的某類資源執行某幾個指定的操作。

    系統策略

    • AliyunIOTFullAccess:管理物聯網平台(IoT)的許可權。

    • AliyunIOTReadOnlyAccess:唯讀訪問物聯網平台(IoT)的許可權。

    • AliyunIOTConsoleCommonAccess:物聯網平台控制台通用許可權。

    權限原則內容說明

    RAM中使用權限原則描述授權的具體內容,權限原則由效果(Effect)、操作(Action)、資源(Resource)、條件(Condition)和授權主體(Principal)等基本元素組成。權限原則的基本元素、文法結構和判定規則的詳細說明,請參見權限原則語言

    物聯網平台授權策略內容中基本元素的配置說明如下。

    元素名稱

    是否必選

    說明

    效果(Effect)

    授權效果包括兩種:允許(Allow)和拒絕(Deny)。

    說明

    當權限原則中既有Allow又有Deny時,遵循Deny優先原則。

    操作(Action)

    操作是指對具體資源的操作。

    物聯網平台RAM授權作業碼格式統一為iot:${API名稱},其中${API名稱}為物聯網平台操作功能的API名稱,也對應物聯網平台控制台操作功能。物聯網平台公開提供的所有雲端API,請參見物聯網平台雲端API列表

    在建立物聯網平台授權策略時,多個Action以英文逗號(,)分隔,支援使用星號(*)萬用字元。例如iot:Create*Create*通配以Create開頭的API名稱,例如CreateProductCreateThingModelCreateProductTopic

    資源(Resource)

    資源是指被授權的具體對象。

    目前物聯網平台不支援資源(例如產品或裝置)粒度的授權,只支援API維度授權,授權時,Resource只能設定為*

    條件(Condition)

    條件是指授權生效的條件。

    目前物聯網平台的RAM使用者授權策略支援訪問IP限制、是否通過HTTPS訪問、是否通過MFA(多因素認證)訪問、訪問時間限制的鑒權條件。

    使用情境樣本,請參見Condition定義

    RAM授權操作(Action)列表

    您建立自訂權限原則時,需要指定具體的授權操作。物聯網平台基於API操作授權,對應API名稱及操作功能的詳細內容,請參見物聯網平台公開提供的所有雲端API列表。RAM授權操作(Action)格式為iot:${API名稱},下表列出物聯網平台公開API的Action樣本,及未公開API對應操作功能的Action。

    API名稱或操作功能

    RAM授權操作(Action)

    資源 (Resource)

    介面說明

    CreateProduct

    iot:CreateProduct

    *

    建立產品。

    DeleteConsumerGroupSubscribeRelation

    iot:DeleteConsumerGroupSubscribeRelation

    *

    從AMQP訂閱中的多個消費組移除指定消費組。

    配置AMQP服務端訂閱

    iot:sub

    *

    支援AMQP服務端訂閱串連。

    重設產品認證密鑰

    iot:ResetProductSecret

    *

    重設產品認證的ProductSecret

    使用指導

    1. 建立帳號管理員

      阿里雲帳號(主帳號)對帳號中的資源具有完全系統管理權限,且無法進行條件限制(例如:訪問來源IP地址、訪問時間等),多人共用時也無法在動作記錄中區分出具體使用人,一旦泄露風險極大,強烈建議您不要使用阿里雲帳號(主帳號)進行日常營運管理。

      您可以在RAM中建立一個RAM使用者,授予AdministratorAccess許可權,充當帳號管理員,該管理員可以對帳號下所有雲資源進行管控操作。後續您可以通過該管理員建立多個RAM使用者,進行分權管理。

    2. 建立自訂權限原則

      RAM提供了兩種權限原則:系統權限原則和自訂權限原則。系統權限原則由阿里雲統一提供,不支援修改。如果系統權限原則不能滿足您的授權需求,您可以按需建立自訂權限原則,實現精微調權限管理。

    3. 建立RAM使用者進行授權:

      • 建立單個RAM使用者並授權

        您可以建立RAM使用者並為其授權,實現不同RAM使用者擁有不同資源存取權限的目的。

        當您的企業存在多使用者協同訪問資源的情境時,使用RAM可以按需為使用者指派最小許可權,避免多使用者共用阿里雲帳號(主帳號)密碼或存取金鑰,從而降低企業的安全風險。

      • 建立RAM使用者組並授權

        RAM使用者組是RAM中的一種實體身份類型,RAM使用者組可以對職責相同的RAM使用者進行分類並授權,從而更高效地管理RAM使用者及其許可權。

      • 建立RAM角色並授權,然後授予RAM使用者角色扮演許可權

        RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。扮演成功後,可信實體將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用該安全性權杖就能以RAM角色身份訪問被授權的資源。

    使用樣本

    常見問題