RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。扮演成功後,可信實體將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用該安全性權杖就能以RAM角色身份訪問被授權的資源。
RAM角色類型
根據不同的可信實體,RAM角色分為以下三類:
可信實體為阿里雲帳號的RAM角色:允許RAM使用者扮演的角色。扮演角色的RAM使用者可以屬於自己的阿里雲帳號,也可以屬於其他阿里雲帳號。該類角色主要用於解決跨帳號訪問和臨時授權問題。
可信實體為阿里雲服務的RAM角色:允許雲端服務扮演的角色。分為普通服務角色和服務關聯角色兩種。該類角色主要用於解決跨服務訪問問題。
可信實體為身份供應商的RAM角色:允許可信身份供應商下的使用者所扮演的角色。該類角色主要用於實現與阿里雲的單點登入(SSO)。
步驟一:建立RAM角色
不同類型的RAM角色建立方法略有差異,如下將以建立可信實體為阿里雲帳號的RAM角色為例為您介紹。更多資訊,請參見建立可信實體為阿里雲帳號的RAM角色、建立可信實體為阿里雲服務的RAM角色、建立可信實體為身份供應商的RAM角色。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在角色頁面,單擊建立角色。
在建立角色頁面,選擇可信實體類型為阿里雲帳號,然後單擊下一步。
設定角色資訊。
輸入角色名稱。
輸入備忘。
選擇信任的雲帳號。
當前雲帳號:當您允許當前阿里雲帳號下的所有RAM使用者扮演該RAM角色時,您可以選擇當前雲帳號。
其他雲帳號:當您允許其他阿里雲帳號下的所有RAM使用者扮演該RAM角色時,您可以選擇其他雲帳號,然後輸入其他阿里雲帳號(主帳號)ID。該項主要針對跨阿里雲帳號的資源授權訪問情境,相關教程,請參見跨阿里雲帳號的資源授權。
您可以在安全設定頁面查看阿里雲帳號(主帳號)ID。
重要如果您僅允許指定的RAM使用者扮演該RAM角色,而不是阿里雲帳號(主帳號)下的所有RAM使用者,您可以採取以下兩種方式:
修改RAM角色的信任策略。具體操作,請參見樣本一:修改RAM角色的可信實體為阿里雲帳號。
修改RAM使用者的角色扮演權限原則。具體操作,請參見能否指定RAM使用者具體可以扮演哪個RAM角色?。
單擊完成。
單擊關閉。
步驟二(可選):建立自訂權限原則
RAM提供了兩種權限原則:系統權限原則和自訂權限原則。系統權限原則由阿里雲統一提供,不支援修改。如果系統權限原則不能滿足您的需求,您可以按需建立自訂權限原則,實現精微調權限管理。
建立自訂權限原則有多種方式,如下將以通過可視化編輯模式建立自訂權限原則為例為您介紹。更多其他方式,請參見建立自訂權限原則。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊可視化編輯頁簽。
配置權限原則。
關於權限原則基本元素的詳情,請參見權限原則基本元素。
在效果地區,選擇允許或拒絕。
在服務地區,選擇雲端服務。
說明支援可視化編輯模式的雲端服務以控制台介面顯示為準。
在操作地區,選擇全部操作或指定操作。
系統會根據您上一步選擇的雲端服務,自動篩選出可以配置的操作。如果您選擇了指定操作,您需要繼續選擇具體的操作。
在資源地區,選擇全部資源或指定資源。
系統會根據您上一步選擇的操作,自動篩選出可以配置的資源類型。如果您選擇了指定資源,您需要繼續單擊添加資源,配置具體的資源ARN。您可以使用匹配全部功能,快速選擇對應配置項的全部資源。
說明為了權限原則的正常生效,對操作關聯的必要資源ARN標識了必要,強烈建議您配置該資源ARN。
在條件地區,單擊添加條件,配置條件。
條件包括阿里雲通用條件和服務級條件,系統會根據您前面配置的雲端服務和操作,自動篩選出可以配置的條件列表。您只需要選擇對應條件鍵配置具體內容。
單擊添加語句,重複上述步驟,配置多條權限原則語句。
單擊頁面上方的可選:進階策略最佳化,然後單擊執行,對權限原則內容進行進階最佳化。
進階權限原則最佳化功能會完成以下任務:
拆分不相容操作的資源或條件。
收縮資源到更小範圍。
去重或合并語句。
在建立權限原則頁面,單擊確定。
在建立權限原則對話方塊,輸入權限原則名稱和備忘,然後單擊確定。
步驟三:為RAM角色授權
授權時,建議遵循最小化原則,僅授予必要的許可權。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在角色頁面,單擊目標RAM角色操作列的新增授權。
您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色大量授權。
在新增授權面板,為RAM角色授權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。
選擇授權主體。
授權主體即需要添加許可權的RAM角色。系統會自動選擇當前的RAM角色。
選擇權限原則。
權限原則是一組存取權限的集合。支援批量選中多條權限原則。
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
單擊確認新增授權。
單擊關閉。
步驟四:可信實體通過角色扮演的方式訪問阿里雲
可信實體通過控制台或調用API扮演角色並擷取角色的安全性權杖。
可信實體通過角色身份訪問被授權的雲資源。