全部產品
Search

搜尋本產品

    Resource Orchestration Service:使用RAM控制資源訪問

    文件中心

    Resource Orchestration Service:使用RAM控制資源訪問

    更新時間:Nov 22, 2024

    存取控制RAM(Resource Access Management)是阿里雲提供的系統管理使用者身份與資源存取權限的服務。您可以建立RAM使用者並授予其對資源的操作許可權。當您的企業存在多使用者協同操作資源的情境時,RAM可以協助您避免與其他使用者共用阿里雲帳號密鑰,按需為使用者指派最小許可權,從而降低企業的資訊安全風險。

    建立RAM使用者並授權

    為RAM使用者授權系統策略

    1. 使用阿里雲帳號登入RAM控制台

    2. 在左側導覽列,選擇身份管理>設定,對RAM進行初始設定。

      您可以設定RAM使用者安全性原則。具體操作,請參見設定RAM使用者安全性原則

    3. 在左側導覽列,選擇身份管理>使用者,建立RAM使用者,並為RAM使用者佈建登入密碼和AccessKey。

      具體操作,請參見建立RAM使用者

    4. 使用者頁面,為目標RAM使用者授予系統策略。

      說明

      • 當您希望此RAM使用者具備唯讀訪問Resource Orchestration Service服務(ROS)的許可權時,可以為RAM使用者配置AliyunROSReadOnlyAccess策略。

      • 當您希望此RAM使用者具備管理Resource Orchestration Service服務所有操作(ROS)的許可權,可以為RAM使用者配置AliyunROSFullAccess策略。

    為RAM使用者授權自訂策略

    1. 在左側導覽列,選擇許可權管理>權限原則,建立自訂策略。

      自訂策略是為RAM使用者可以對資源棧進行操作的授權策略。具體操作,請參見建立自訂權限原則

      一個權限原則可以有多條授權語句,授權語句中需包含操作(Action)和資源(Resource)。關於ROS支援的操作(Action)和資源(Resource)的更多資訊,請參見可授權的Resource Orchestration Service資源類型

    2. 在左側導覽列,選擇身份管理>使用者,為目標RAM使用者授予自訂策略。

      說明

      您可以為使用者組授予自訂權限原則。為使用者組授權後,使用者組中的所有RAM使用者將擁有該使用者組的所有許可權。

    ROS自訂權限原則樣本

    • 樣本一:查看資源棧列表

      以下策略表示:RAM使用者可以查看北京地區的所有資源棧列表和資源棧詳情。其中,星號(*)是萬用字元,表示北京地區的所有資源棧。

      {
  "Statement": [
    {
      "Action": [
        "ros:DescribeStacks",
        "ros:DescribeStackDetail"
      ],
      "Effect": "Allow",
      "Resource": "acs:ros:cn-beijing:*:stack/*"
    }
  ],
  "Version": "1"
}

    • 樣本二:建立和查看資源棧

      以下策略表示:RAM使用者可以在所有地區建立和查看資源棧。

      {
  "Statement": [
    {
      "Action": [
        "ros:CreateStack",
        "ros:DescribeStacks",
        "ros:DescribeStackDetail",
        "ros:ValidateTemplate"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

    • 樣本三:更新資源棧

      以下策略表示:RAM使用者12345****可以更新資源棧94dd5431-2df6-4415-81ca-732a7082****

      {
  "Statement": [
    {
      "Action": [
        "ros:UpdateStack"
      ],
      "Effect": "Allow",
      "Resource": "acs:ros:cn-beijing:12345****:stack/94dd5431-2df6-4415-81ca-732a7082****"
    }
  ],
  "Version": "1"
}

    • 樣本四:訪問ROS的所有功能和資源

      當ROS通過阿里雲STS(Security Token Service)和不通過STS進行臨時授權訪問時,以下策略均表示RAM使用者當前IP網段為42.120.XX.XX/24、且正在使用HTTPS訪問阿里雲控制台或API時,可以訪問ROS所有功能和資源,但不能訪問其他雲端服務。說明:

      • acs:SourceIp取值為42.120.XX.XX/24,表示通過指定IP網段(42.120.XX.XX/24)訪問阿里雲。

      • acs:SecureTransport取值為true,表示通過HTTPS方式訪問阿里雲。

      {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ros:*",
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "42.120.XX.XX/24"
        },
        "Bool": {
          "acs:SecureTransport": "true"
        }
      }
    }
  ],
  "Version": "1"
}

    • 樣本五:訪問ROS的所有功能和資源,並設定是否支援訪問ECS

      • 當ROS通過STS進行臨時授權訪問時,由於STS情境下無法透傳acs:SourceIp和acs:SecureTransport,因此以下策略表示RAM使用者當前IP網段為42.120.XX.XX/24、且正在使用HTTPS訪問阿里雲控制台或API時,可以訪問ROS所有功能和資源,但不能訪問其他服務,包括ECS。

      • 當ROS不通過STS進行臨時授權訪問時,以下策略表示RAM使用者當前IP網段為42.120.XX.XX/24、且正在使用HTTPS訪問阿里雲控制台或API時,可以訪問ROS和ECS所有功能和資源,但不能訪問其他服務。

        說明

        當ROS不通過STS進行臨時授權訪問時,支援透傳acs:SourceIp和acs:SecureTransport的服務為:Elastic Compute Service、專用網路VPC、Server Load Balancer、阿里雲關係型資料庫RDS、雲資料庫 Tair(相容 Redis)、雲解析PrivateZone、Container ServiceKubernetes版ACK、Function ComputeFC、Object Storage Service、Log ServiceSLS、API Gateway和Action Trail。

        {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ros:*",
        "ecs:*"
      ],
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "42.120.XX.XX/24"
        },
        "Bool": {
          "acs:SecureTransport": "true"
        }
      }
    }
  ],
  "Version": "1"
}

    • 樣本六:通過標籤鑒權來訪問和操作ROS的資源

      以下策略表示:允許RAM使用者管理帶有標籤對{"Enviroment": "TEST"}的ROS資源。

      {
  "Statement": [
    {
      "Action": "ros:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "acs:ResourceTag/Enviroment": "TEST"
        }
      }
    }
  ],
  "Version": "1"
}