Message ServiceMNS支援阿里雲帳號(主帳號)給RAM使用者(子帳號)授予資源層級的許可權,避免因暴露阿里雲帳號(主帳號)密鑰造成的安全風險。僅限有許可權的RAM使用者在Message ServiceMNS的控制台上管理資源,以及SDK/API發布與訂閱訊息。
應用情境
企業A購買了Message ServiceMNS服務,企業A的員工需要操作這些服務所涉及的資源,例如隊列、主題等資源。由於每個員工的工作職責不一樣,需要的許可權也不一樣。
具體情境說明如下:
- 出於安全或信任的考慮,企業A不希望將雲帳號密鑰直接透露給員工,而希望能給員工建立相應的使用者帳號。
- 使用者帳號只能在授權的前提下操作資源,不需要對使用者帳號單獨計量計費,所有開銷都計入企業A雲帳號名下。
- 企業A隨時可以撤銷使用者帳號的許可權,也可以隨時刪除其建立的使用者帳號。
此種情境下,A的雲帳號可以將需要員工進行操作的資源進行細粒度的許可權分隔。
方式一:在RAM使用者頁面為RAM使用者授權
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
單擊確認新增授權。
單擊關閉。
方式二:在授權頁面為RAM使用者授權
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在授權頁面,單擊新增授權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。支援批量選中多個RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
單擊確認新增授權。
單擊關閉。
後續步驟
使用阿里雲帳號(主帳號)建立好RAM使用者後,即可將RAM使用者的登入名稱稱及密碼或者AccessKey資訊分發給其他使用者。其他使用者可以按照以下步驟使用RAM使用者登入控制台或調API。- 登入控制台。
- 在瀏覽器中開啟RAM使用者登入入口。
- 在RAM使用者登入頁面上,輸入RAM使用者登入名稱稱,單擊下一步,並輸入RAM使用者密碼,然後單擊登入。 說明 RAM使用者登入名稱稱的格式為
<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias>為帳號別名,如果沒有設定帳號別名,則預設值為阿里雲帳號(主帳號)的ID。 - 在阿里雲控制台頁面上單擊有許可權的產品,即可存取控制台。
- 使用RAM使用者的AccessKey調用API。
在代碼中使用RAM使用者的AccessKey ID和AccessKey Secret即可。