全部產品
Search

搜尋本產品

    Resource Access Management:通過RAM限制使用者的訪問時間段

    文件中心

    Resource Access Management:通過RAM限制使用者的訪問時間段

    更新時間:Feb 05, 2024

    RAM可以限制使用者只能在指定的時間段訪問企業的雲資源,從而增強訪問安全性。

    前提條件

    建立自訂權限原則前,您需要先瞭解權限原則語言的基本結構和文法。更多資訊,請參見權限原則基本元素權限原則文法和結構

    背景資訊

    企業A購買了很多阿里雲資源來開展業務,例如:ECS執行個體、RDS執行個體、SLB執行個體和OSS儲存空間等。為了確保其業務和資料安全,企業希望使用者只能在工作時間訪問阿里雲,而不是在任意時間都可以訪問阿里雲。

    您可以根據需要建立自訂權限原則,然後建立RAM使用者並為RAM使用者授予對應的許可權,從而保證RAM使用者只能在指定的時間段訪問阿里雲。

    步驟一:建立自訂權限原則

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 權限原則

    3. 權限原則頁面,單擊建立權限原則

    4. 建立權限原則頁面,單擊指令碼編輯頁簽。

    5. 輸入權限原則內容,然後單擊繼續編輯基本資料

      策略內容樣本:RAM使用者只能在特定時間段(北京時間2019年8月12日17:00之前)訪問ECS。您可以通過設定Conditionacs:CurrentTime的值為2019-08-12T17:00:00+08:00來實現。

      {
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
          "DateLessThan": {
              "acs:CurrentTime": "2019-08-12T17:00:00+08:00"
          }
      }
    }
  ],
  "Version": "1"
}
      說明 Condition(限制條件)只針對當前權限原則描述的操作有效。您可以修改時間2019-08-12T17:00:00+08:00為企業允許訪問的時間。

    6. 輸入權限原則名稱備忘

    7. 檢查並最佳化權限原則內容。

      • 基礎權限原則最佳化

        系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:

        • 刪除不必要的條件。

        • 刪除不必要的數組。

      • 可選:進階權限原則最佳化

        您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:

        • 拆分不相容操作的資源或條件。

        • 收縮資源到更小範圍。

        • 去重或合并語句。

    8. 單擊確定

    步驟二:建立RAM使用者

    操作步驟

    1. 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 使用者頁面,單擊建立使用者

    4. 建立使用者頁面的使用者帳號資訊地區,設定使用者基本資料。

      • 登入名稱稱:可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。

      • 顯示名稱:最多包含128個字元或漢字。

      • 標籤:單擊edit,然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤,便於後續基於標籤的使用者管理。

      說明

      單擊添加使用者,可以大量建立多個RAM使用者。

    5. 訪問方式地區,選擇訪問方式,然後設定對應參數。

      為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。

      • 控制台訪問

        如果RAM使用者代表人員,建議啟用控制台訪問,使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數:

        • 控制台登入密碼:選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼強度

        • 密碼重設策略:選擇RAM使用者在下次登入時是否需要重設密碼。

        • 多因素認證(MFA)策略:選擇是否為當前RAM使用者啟用MFA。啟用MFA後,主帳號還需要為RAM使用者綁定MFA裝置或RAM使用者自行綁定MFA裝置。更多資訊,請參見為RAM使用者綁定MFA裝置

      • OpenAPI調用訪問

        如果RAM使用者代表應用程式,建議啟用OpenAPI調用訪問,使用存取金鑰(AccessKey)訪問阿里雲。啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊,請參見建立AccessKey

        重要

        RAM使用者的AccessKey Secret只在建立時顯示,不支援查看,請妥善保管。

    6. 單擊確定

    7. 根據介面提示,完成安全驗證。

    步驟三:為RAM使用者授權

    步驟一建立的自訂權限原則授予步驟二建立的RAM使用者。

    1. 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

    4. 添加許可權面板,為RAM使用者添加許可權。

      1. 選擇授權應用範圍。

      2. 指定授權主體。

        授權主體即需要添加許可權的RAM使用者。

      3. 選擇權限原則。

        權限原則是一組存取權限的集合,包括:

        • 系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務

        • 自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則

        說明

        每次最多綁定5條策略,如需綁定更多策略,請分多次操作。

    5. 單擊確定

    6. 單擊完成