存取控制RAM(Resource Access Management)是阿里雲提供的系統管理使用者身份與資源存取權限的服務。
功能特性
統一管理訪問身份及許可權
集中式存取控制
集中管理RAM使用者:管理每個RAM使用者及其登入密碼或存取金鑰,為RAM使用者綁定多因素認證MFA(Multi Factor Authentication)裝置。
集中控制RAM使用者的存取權限:控制每個RAM使用者訪問資源的許可權。
集中控制RAM使用者的資源訪問方式:確保RAM使用者在指定的時間和網路環境下,通過安全通道訪問特定的阿里雲資源。
外部身份整合
單點登入SSO(Single Sign On):支援阿里雲與企業身份供應商IdP(Identity Provider)進行使用者SSO或角色SSO,使用企業IdP中的帳號登入阿里雲。
精細多元的使用權限設定能力
豐富的權限原則
RAM提供了多種滿足日常營運人員職責所需要的系統權限原則。如果系統權限原則不能滿足您的需求,您還可以通過圖形化工具快速地建立自訂權限原則。
精細的控制粒度
支援在資源級和操作級向RAM使用者、RAM使用者組和RAM角色授予存取權限。
支援根據請求源IP地址、日期時間、資源標籤等條件屬性建立更精細的資源存取控制策略。
支援指定授權範圍為整個阿里雲帳號或指定資源群組。
雲SSO實現多帳號統一身份許可權管理
雲SSO提供基於阿里雲資來源目錄RD(Resource Directory)的多帳號統一身份管理與存取控制。您可以在雲SSO中進行一次性統一配置,即可完成面向多個阿里雲帳號的身份管理、單點登入和許可權配置。為了實現這一目標,雲SSO提供了獨立於RAM的身份目錄,但其許可權管理複用了RAM中的系統策略和自訂策略文法。此外,雲SSO使用者對RD帳號的訪問,本質上是雲SSO使用者扮演每個RD帳號中的RAM角色進行的再一次單點登入。
免費使用
RAM為免費產品,經過實名認證的阿里雲帳號可以直接使用,不收取任何費用。
產品優勢
使用RAM,您可以建立、管理RAM使用者(例如員工、系統或應用程式),並可以控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源的情境時,RAM可以讓您避免與其他使用者共用阿里雲帳號密鑰,按需為使用者指派最小許可權,從而降低企業的資訊安全風險。
應用情境
應用情境 | 描述 |
企業A的某個專案(Project-X)上雲,購買了多種阿里雲資源,例如:ECS執行個體、RDS執行個體、SLB執行個體和OSS儲存空間等。專案裡有多個員工需要操作這些雲資源,由於每個員工的工作職責不同,要求的權限也不同。 企業A希望能夠達到以下要求:
| |
企業A開發了一款行動裝置 App(App),併購買了Object Storage Service服務。App需要直連OSS上傳或下載資料,但是App運行在使用者自己的行動裝置上,這些裝置不受企業A的控制。 企業A有如下要求:
| |
企業A購買了多種阿里雲資源來開展業務,例如:ECS執行個體、RDS執行個體、SLB執行個體和OSS儲存空間等。企業A希望將部分業務授權給企業B。 企業A有如下要求:
| |
企業A購買了ECS執行個體,並計劃在ECS中部署企業的應用程式。這些應用程式需要使用存取金鑰(AccessKey)訪問其它雲端服務API。 | |
遊戲公司A正在開發3個遊戲專案,每個遊戲專案都會用到多種雲資源。公司A只有1個阿里雲帳號,該阿里雲帳號下有超過100個ECS執行個體。 公司A有如下要求:
|
使用方式
註冊阿里雲帳號後,您可以通過以下方式使用Resource Access Management使用者身份與資源存取權限: