本文解釋了RAM的基本概念,協助您正確理解和使用RAM。
身份管理相關概念
概念 | 說明 |
阿里雲帳號(Alibaba Cloud account) | 開始使用阿里雲服務前,首先需要註冊一個阿里雲帳號。阿里雲帳號是阿里雲資源歸屬、資源使用計量計費的基本主體。阿里雲帳號為其名下所擁有的資源付費,並對其名下所有資源擁有完全控制許可權。 預設情況下,資源只能被阿里雲帳號所訪問,任何其他使用者訪問都需要獲得阿里雲帳號的顯式授權。阿里雲帳號就是作業系統的root或Administrator,所以我們有時稱它為根帳號或主帳號。 為確保阿里雲帳號的安全,如非必要,避免使用阿里雲帳號登入控制台以及為其建立存取金鑰(AccessKey)。推薦您在阿里雲帳號下建立一個RAM使用者,並授予管理員權限,後續使用該RAM使用者執行管理操作。 |
帳號管理員 | 帳號管理員具備帳號下所有資源的系統管理權限。帳號管理員可以是阿里雲帳號(主帳號),也可以是主帳號下擁有AdministratorAccess許可權的RAM使用者,強烈推薦您使用RAM使用者充當帳號管理員。更多資訊,請參見建立帳號管理員。 |
Resource Access Management員 | Resource Access Management員具備帳號下RAM資源的系統管理權限。Resource Access Management員可以是阿里雲帳號(主帳號),也可以是主帳號下擁有AliyunRAMFullAccess許可權的RAM使用者,強烈推薦您使用RAM使用者充當Resource Access Management員。 |
身份(Identity) | 存取控制(RAM)中有三種身份:RAM使用者、使用者組和RAM角色。其中RAM使用者和使用者組是RAM的一種實體身份類型,RAM角色是一種虛擬使用者身份。 |
預設網域名稱(Default domain name) | 阿里雲為每個阿里雲帳號分配了一個預設網域名稱,格式為 關於如何設定預設網域名稱,請參見查看和修改預設網域名稱。 |
帳號別名(Account alias) | 帳號別名也叫企業別名,帳號別名的預設值為阿里雲帳號ID 例如:企業可以為其阿里雲帳號設定帳號別名為:company1,該阿里雲帳號下的RAM使用者alice可以使用alice@company1登入阿里雲控制台。 關於如何設定帳號別名,請參見查看和修改預設網域名稱。 |
域別名(Domain alias) | 如果您持有公網上可以解析的網域名稱,那麼您可以使用該網域名稱替代您的預設網域名稱,該網域名稱稱為域別名。域別名就是指預設網域名稱的別名。 說明 域別名必須經過網域名稱歸屬驗證後才能使用。驗證通過後,您可以使用域別名替代預設網域名稱,用於所有需要使用預設網域名稱的情境。 關於如何設定域別名,請參見建立並驗證域別名。 |
RAM使用者(RAM user) | RAM使用者也叫RAM帳號,是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程式一一對應。RAM使用者具備以下特點:
關於如何建立RAM使用者,請參見建立RAM使用者。 |
登入密碼(Password) | 登入密碼是登入阿里雲的身份憑證,用於證明使用者真實身份的憑證。 說明 登入密碼不支援查詢,請妥善保管並定期更換。 關於如何設定RAM使用者的登入密碼,請參見修改RAM使用者登入密碼。 |
存取金鑰(AccessKey) | 存取金鑰AccessKey(簡稱AK)是阿里雲提供給使用者的永久訪問憑據,一組由AccessKey ID和AccessKey Secret組成的金鑰組。
AccessKey ID和AccessKey Secret根據演算法由存取控制(RAM)產生,阿里雲對AccessKey ID和AccessKey Secret的儲存及傳輸均進行加密。 AccessKey不用於控制台登入,用於通過開發工具(API、CLI、SDK、Terraform等)訪問阿里雲時,發起的請求會攜帶AccessKey ID和AccessKey Secret加密請求內容產生的簽名,進行身分識別驗證及請求合法性校正。 關於如何建立存取金鑰,請參見建立AccessKey。 |
多因素認證(MFA) | 多因素認證是一種簡單有效最佳安全實踐,在使用者名稱和密碼之外再增加一層安全保護。這些要素結合起來將為您的帳號提供更高的安全保護。啟用多因素認證後,再次登入阿里雲時,系統將要求輸入兩層安全要素:
關於如何設定多因素認證,請參見為阿里雲帳號綁定MFA裝置和為RAM使用者綁定MFA裝置。 |
使用者組(RAM user group) | 使用者組是RAM的一種實體身份類型,使用者組可以對職責相同的RAM使用者進行分類並授權,從而更好地系統管理使用者及其許可權。
|
RAM角色(RAM role) | RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。扮演成功後,可信實體將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用該安全性權杖就能以RAM角色身份訪問被授權的資源。 根據不同的可信實體類型,RAM角色分為以下幾種:
|
服務提供者(SP) | 利用IdP的身份管理功能,為使用者提供具體服務的應用。SP會使用IdP提供的使用者資訊。一些非SAML協議的身份系統(例如:OpenID Connect),也把服務提供者稱作IdP的信賴方。 |
身份供應商(IdP) | 一個包含有關外部身份供應商中繼資料的RAM實體,身份供應商可以提供身份管理服務。
|
安全性聲明標記語言(SAML 2.0) | 實現企業級使用者身份認證的標準協議,它是SP和IdP之間實現溝通的技術實現方式之一。SAML 2.0已經是目前實現企業級SSO的一種事實標準。 |
單點登入(SSO) | 阿里雲支援基於SAML 2.0和OIDC的SSO(Single Sign On,單點登入),也稱為身份同盟登入。阿里雲提供以下兩種SSO方式:
|
中繼資料文檔(Metadata file) | 中繼資料文檔由企業IdP提供,一般為XML格式,包含IdP的登入服務地址、用於驗證簽名的公開金鑰及斷言格式等資訊。 |
SAML斷言(SAML assertion) | SAML協議中用於描述認證請求和認證響應的核心元素。例如:使用者的具體屬性就包含在認證響應的斷言裡。 |
信賴(Trust) | 建立在SP和IdP之間的互信機制,通常由公開金鑰和私密金鑰來實現。SP通過可信的方式擷取IdP的SAML中繼資料,中繼資料中包含IdP簽發SAML斷言的簽名驗證公開金鑰,SP則使用公開金鑰來驗證斷言的完整性。 |
存取控制相關概念
概念 | 說明 |
許可權(Permission) | 許可權是指是否允許使用者對某種資源執行某種操作,許可權分為:允許(Allow)或拒絕(Deny)。 操作分為兩大類:
|
權限原則(Policy) | 權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。權限原則是描述許可權集的一種簡單語言規範。關於RAM支援的語言規範,請參見權限原則文法和結構。 在RAM中,權限原則是一種資源實體。RAM支援以下兩種權限原則:
通過為RAM使用者、使用者組或RAM角色綁定權限原則,可以獲得權限原則中指定的存取權限。更多資訊,請參見為RAM使用者授權、為RAM使用者組授權和為RAM角色授權。 |
授權主體(Principal) | 獲得策略中定義的許可權主體,授權主體可以為RAM使用者、使用者組或RAM角色。 |
效果(Effect) | 權限原則基本元素之一,表示授權效果。取值為:允許(Allow)或拒絕(Deny)。 |
操作(Action) | 權限原則基本元素之一,表示對具體資源的操作。取值為:雲端服務所定義的API操作名稱。 |
條件(Condition) | 權限原則基本元素之一,表示授權生效的條件。 |
資源(Resource) | 資源是雲端服務呈現給使用者與之互動的對象實體的一種抽象,例如:OSS儲存空間或ECS執行個體等。 |
ARN(Aliyun Resource Name) | ARN是阿里雲為每個資源定義的全域資源名稱。在RAM授權時,ARN遵循的格式為
|