當企業有多種雲資源時,使用RAM的身份管理與許可權管理功能,實現使用者分權及資源統一管理。
前提條件
進行操作前,請確保您已經註冊了阿里雲帳號。如還未註冊,請先完成帳號註冊。
背景資訊
企業A的某個專案(Project-X)上雲,購買了多種阿里雲資源,例如:ECS執行個體、RDS執行個體、SLB執行個體和OSS儲存空間等。專案裡有多個員工需要操作這些雲資源,由於每個員工的工作職責不同,需要的許可權也不同。
企業A希望能夠達到以下要求:
- 企業A不希望多員工共用同一個雲帳號,共用雲帳號可能導緻密碼或存取金鑰泄露。
- 企業A希望能給員工建立獨立帳號(操作員帳號)並獨立分配許可權,做到責權一致。
- 企業A希望使用者帳號只能在授權的前提下操作資源,所有使用者帳號的所有操作行為可審計。
- 企業A希望隨時可以撤銷使用者帳號身上的許可權,也可以隨時刪除其建立的使用者帳號。
- 企業A不需要對使用者帳號進行獨立的計量計費,所有發生的費用統一計入雲帳號賬單。
解決方案
- 為雲帳號設定多因素認證,避免因雲帳號密碼泄露導致風險。詳情請參見為阿里雲帳號啟用多因素認證。
- 為不同員工(應用系統)建立RAM使用者,並按需設定登入密碼或建立存取金鑰。詳情請參見建立RAM使用者。
- 如果有多個員工的職責相同,建議建立使用者組,並將使用者添加到使用者組。詳情請參見建立使用者組。
- 為RAM使用者或使用者組添加一條或多條系統策略。詳情請參見為RAM使用者授權或為使用者組授權。如果需要更細粒度的授權,可以建立自訂策略並為RAM使用者或使用者組進行授權。詳情請參見建立自訂權限原則。
- 為不需要許可權的RAM使用者或使用者組移除許可權。詳情請參見為RAM使用者移除許可權或為使用者組移除許可權。