全部產品
Search
文件中心

Resource Access Management:RAM角色概覽

更新時間:Jun 19, 2024

本文為您介紹RAM角色的定義、分類、應用情境、基本概念、使用流程和使用限制。

什麼是RAM角色

RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。扮演成功後,可信實體將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用該安全性權杖就能以RAM角色身份訪問被授權的資源。

RAM角色類型

根據不同的可信實體,RAM角色分為以下三類:

  • 可信實體為阿里雲帳號的RAM角色:允許RAM使用者扮演的角色。扮演角色的RAM使用者可以屬於自己的阿里雲帳號,也可以屬於其他阿里雲帳號。該類角色主要用於解決跨帳號訪問和臨時授權問題。

  • 可信實體為阿里雲服務的RAM角色:允許雲端服務扮演的角色。分為普通服務角色和服務關聯角色兩種。該類角色主要用於解決跨服務訪問問題。

  • 可信實體為身份供應商的RAM角色:允許可信身份供應商下的使用者所扮演的角色。該類角色主要用於實現與阿里雲的單點登入(SSO)。

應用情境

  • 臨時授權訪問

    通常情況下,建議您通過服務端調用API,儘可能保證存取金鑰不被泄露。但是有些上傳檔案的情境最好採用用戶端直傳的形式,避免服務端中轉帶來的多餘開銷。此時,可以由服務端下發臨時安全性權杖(STS Token),用戶端通過臨時安全性權杖(STS Token)進行資源直傳。

    更多資訊,請參見行動裝置 App使用臨時安全性權杖訪問阿里雲

  • 跨帳號訪問

    當您擁有多個阿里雲帳號,例如:帳號A和帳號B,希望實現帳號A訪問帳號B的指定資源。此時,您可以在帳號B下建立可信實體為帳號A的RAM角色,並授權允許帳號A下的某個RAM使用者或RAM角色可以扮演該角色,然後通過該角色訪問帳號B的指定資源。

    更多資訊,請參見跨阿里雲帳號的資源授權

  • 跨服務訪問

    在某些情境下,一個雲端服務為了完成自身的某個功能,需要擷取其他雲端服務的存取權限。例如:配置審計(Config)服務要讀取您的雲資源資訊,以擷取資源清單和資源配置變更歷史,就需要擷取ECS、RDS等產品的存取權限。此時,您可以建立可信實體為阿里雲服務的RAM角色解決該問題。推薦您優先使用服務關聯角色,對於不支援服務關聯角色的雲端服務,請使用普通服務角色。

    更多資訊,請參見支援服務關聯角色的雲端服務

  • 單點登入(角色SSO)

    阿里雲與企業進行角色SSO時,阿里雲是服務提供者(SP),而企業自有的身份管理系統則是身份供應商(IdP)。通過角色SSO,企業可以在本地IdP中管理員工資訊,無需進行阿里雲和企業IdP間的使用者同步,企業員工將使用指定的RAM角色登入阿里雲。此時,您可以建立可信實體為身份供應商的RAM角色解決該問題。

    更多資訊,請參見SAML角色SSO概覽OIDC角色SSO概覽

基本概念

概念

說明

可信實體

角色的可信實體是指可以扮演角色的實體身份。建立角色時必須指定可信實體,角色只能被可信實體扮演。可信實體可以是阿里雲帳號、阿里雲服務或身份供應商。

角色ARN

角色ARN是角色的全域資源描述符,用來指定具體角色。ARN遵循阿里雲ARN的命名規範,格式為acs:ram::<account-id>:role/<role-name>。其中,<role-name>部分會將角色的名稱全部轉換為小寫。關於如何查看角色ARN,請參見查看RAM角色

權限原則

權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。權限原則是描述許可權集的一種簡單語言規範。一個RAM角色可以綁定一組權限原則,沒有綁定權限原則的RAM角色可以存在,但不能訪問資源。

扮演角色

扮演角色是實體使用者擷取角色安全性權杖的方法。具體如下:

RAM角色基本概念

  • 通過控制台扮演角色:一個實體使用者登入控制台後,通過切換身份的方式扮演RAM角色。

  • 通過API扮演角色:一個實體使用者調用AssumeRole可以獲得角色的安全性權杖,使用安全性權杖可以訪問雲端服務API。

切換身份

切換身份是在控制台中實體使用者從當前登入身份切換到角色身份的方法。一個實體使用者登入到控制台之後,可以切換到被許可扮演的某一種角色身份,然後以角色身份操作雲資源。當使用者不需要使用角色身份時,可以從角色身份切換回原來的登入身份。

安全性權杖

安全性權杖(STS Token)是角色身份的一種臨時存取金鑰。角色身份沒有確定的存取金鑰,當一個實體使用者要使用角色時,必須通過扮演角色來擷取對應的角色令牌,然後使用角色令牌來調用阿里雲服務API。

使用流程

  1. 使用阿里雲帳號(主帳號)或具有管理員權限的RAM使用者登入RAM控制台

  2. 建立RAM角色。

  3. 為RAM角色授權。

    具體操作,請參見為RAM角色授權

  4. 可信實體通過控制台或調用API扮演角色並擷取角色的安全性權杖。

  5. 可信實體通過角色身份訪問被授權的雲資源。

使用限制

關於RAM角色的使用限制,請參見使用限制