全部產品
Search
文件中心

Resource Access Management:什麼是存取控制

更新時間:Jul 13, 2024

存取控制RAM(Resource Access Management)是阿里雲提供的系統管理使用者身份與資源存取權限的服務。

功能特性

統一管理訪問身份及許可權

  • 集中式存取控制

    • 集中管理RAM使用者:管理每個RAM使用者及其登入密碼或存取金鑰,為RAM使用者綁定多因素認證MFA(Multi Factor Authentication)裝置。

    • 集中控制RAM使用者的存取權限:控制每個RAM使用者訪問資源的許可權。

    • 集中控制RAM使用者的資源訪問方式:確保RAM使用者在指定的時間和網路環境下,通過安全通道訪問特定的阿里雲資源。

  • 外部身份整合

    • 單點登入SSO(Single Sign On):支援阿里雲與企業身份供應商IdP(Identity Provider)進行使用者SSO或角色SSO,使用企業IdP中的帳號登入阿里雲。

精細多元的使用權限設定能力

  • 豐富的權限原則

    RAM提供了多種滿足日常營運人員職責所需要的系統權限原則。如果系統權限原則不能滿足您的需求,您還可以通過圖形化工具快速地建立自訂權限原則。

  • 精細的控制粒度

    • 支援在資源級和操作級向RAM使用者、RAM使用者組和RAM角色授予存取權限。

    • 支援根據請求源IP地址、日期時間、資源標籤等條件屬性建立更精細的資源存取控制策略。

    • 支援指定授權範圍為整個阿里雲帳號或指定資源群組。

雲SSO實現多帳號統一身份許可權管理

雲SSO提供基於阿里雲資來源目錄RD(Resource Directory)的多帳號統一身份管理與存取控制。您可以在雲SSO中進行一次性統一配置,即可完成面向多個阿里雲帳號的身份管理、單點登入和許可權配置。為了實現這一目標,雲SSO提供了獨立於RAM的身份目錄,但其許可權管理複用了RAM中的系統策略和自訂策略文法。此外,雲SSO使用者對RD帳號的訪問,本質上是雲SSO使用者扮演每個RD帳號中的RAM角色進行的再一次單點登入。

免費使用

RAM為免費產品,經過實名認證的阿里雲帳號可以直接使用,不收取任何費用。

產品優勢

使用RAM,您可以建立、管理RAM使用者(例如員工、系統或應用程式),並可以控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源的情境時,RAM可以讓您避免與其他使用者共用阿里雲帳號密鑰,按需為使用者指派最小許可權,從而降低企業的資訊安全風險。

應用情境

應用情境

描述

使用者管理與分權

企業A的某個專案(Project-X)上雲,購買了多種阿里雲資源,例如:ECS執行個體、RDS執行個體、SLB執行個體和OSS儲存空間等。專案裡有多個員工需要操作這些雲資源,由於每個員工的工作職責不同,要求的權限也不同。

企業A希望能夠達到以下要求:

  • 企業A不希望多員工共用同一個雲帳號,共用雲帳號可能導緻密碼或存取金鑰泄露。

  • 企業A希望能給員工建立獨立帳號(操作員帳號)並獨立分配許可權,做到責權一致。

  • 企業A希望使用者帳號只能在授權的前提下操作資源,所有使用者帳號的所有操作行為可審計。

  • 企業A希望隨時可以撤銷使用者帳號身上的許可權,也可以隨時刪除其建立的使用者帳號。

  • 企業A不需要對使用者帳號進行獨立的計量計費,所有發生的費用統一計入雲帳號賬單。

行動裝置 App使用臨時安全性權杖訪問阿里雲

企業A開發了一款行動裝置 App(App),併購買了Object Storage Service服務。App需要直連OSS上傳或下載資料,但是App運行在使用者自己的行動裝置上,這些裝置不受企業A的控制。

企業A有如下要求:

  • 直傳資料:企業A不希望所有App都通過企業的服務端應用伺服器(Application Server)來進行資料中轉,而希望能夠直連OSS上傳或下載資料。

  • 安全管控:企業A不希望將存取金鑰(AccessKey)儲存到行動裝置中,因為行動裝置是歸屬於使用者控制,屬於不可信的運行環境。

  • 風險控制:企業A希望將風險控制到最小,每個App直連OSS時都必須擁有最小的存取權限且訪問時效需要很短。

跨阿里雲帳號的資源授權

企業A購買了多種阿里雲資源來開展業務,例如:ECS執行個體、RDS執行個體、SLB執行個體和OSS儲存空間等。企業A希望將部分業務授權給企業B。

企業A有如下要求:

  • 企業A希望能專註於業務系統,僅作為資源Owner。企業A希望可以授權帳號B來操作部分業務,例如:雲資源營運、監控以及管理等。

  • 企業A希望當企業B的員工加入或離職時,無需做任何許可權變更。企業B可以進一步將企業A的資源存取權限分配給企業B的RAM使用者(員工或應用),並可以精細控制其員工或應用對資源的訪問和操作許可權。

  • 企業A希望如果雙方合約終止,企業A隨時可以撤銷企業B的授權。

對雲上應用進行動態身份管理與授權

企業A購買了ECS執行個體,並計劃在ECS中部署企業的應用程式。這些應用程式需要使用存取金鑰(AccessKey)訪問其它雲端服務API。

資源分組和授權

遊戲公司A正在開發3個遊戲專案,每個遊戲專案都會用到多種雲資源。公司A只有1個阿里雲帳號,該阿里雲帳號下有超過100個ECS執行個體。

公司A有如下要求:

  • 專案獨立管理:每個管理員各自能夠獨立管理專案人員及其存取權限。

  • 按專案分賬:財務部門希望能夠根據專案進行出賬,以解決財務成本分攤的問題。

  • 共用底層網路:客戶希望雲資源的底層網路預設共用。

使用方式

註冊阿里雲帳號後,您可以通過以下方式使用Resource Access Management使用者身份與資源存取權限: