全部產品
Search
文件中心

Security Center:阿里雲身份與許可權

更新時間:Jun 08, 2024

本文介紹您在訪問阿里雲資源前,需要瞭解的阿里雲通用使用者身份及對應的許可權。

身份

阿里雲將使用者身份分為兩種類型:實體使用者身份和虛擬使用者身份。

實體使用者身份

實體使用者身份指有確定的身份ID和身份憑證的身份,可以代表一個實際存在的對象,它通常與某個確定的人、企業或應用程式一一對應。身份憑證包括登入密碼或存取金鑰AK(AccessKey)。實體使用者身份包括阿里雲帳號和存取控制RAM(Resource Access Management)服務中的RAM使用者。通過實體使用者身份訪問雲資源的方式包括:

  • 使用使用者名稱和密碼、多因素認證MFA(Multi-Factor Authentication)通過控制台訪問雲資源。

  • 使用AK通過程式訪問雲資源。

阿里雲帳號和RAM使用者的特點不同。您在訪問阿里雲資源前,請仔細閱讀以下內容。

阿里雲帳號

特點

  • 阿里雲帳號擁有雲作業系統的root或admin許可權。

  • 阿里雲帳號是其名下資源付費的主體,並對其名下所有資源擁有完全控制許可權。

使用說明

為確保您的阿里雲帳號的安全,如非必要,您在訪問雲資源時避免使用阿里雲帳號。

建議您使用阿里雲帳號建立一個RAM使用者,並為RAM使用者授予管理員權限,後續使用有管理員權限的RAM使用者建立並管理其他RAM使用者。

RAM使用者

特點

  • RAM使用者必須在獲得Resource Access Management員(或阿里雲帳號)的授權後才能登入控制台或使用API操作阿里雲帳號下的資源。

  • RAM使用者不擁有資源,不能獨立計量計費,由所屬的阿里雲帳號統一控制和付費,只能在所屬阿里雲帳號的空間下可見。

使用說明

一個RAM使用者對應某一個操作實體,包括營運操作人員或應用程式。推薦您在訪問並使用雲資源時使用RAM使用者。

說明

您也可以將職責相同的RAM使用者進行分類並授權,組建RAM使用者組,從而更高效地管理RAM使用者。

虛擬使用者身份

虛擬使用者身份指沒有確定的身份憑證(登入密碼或AK)的身份。阿里雲的虛擬使用者身份是指RAM服務中的RAM角色。RAM角色需要被一個可以信任的實體使用者扮演。實體使用者扮演成功後將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用STS Token就能以RAM角色身份訪問被授權的資源。

RAM角色支援的可信實體如下表。

可信實體

使用情境

相關文檔

阿里雲帳號

主要用於解決跨帳號訪問和臨時授權問題,僅允許可信阿里雲帳號下的RAM使用者扮演。可信阿里雲帳號既可以是當前使用的阿里雲帳號,也可以是其他的阿里雲帳號。

建立可信實體為阿里雲帳號的RAM角色

阿里雲服務

該角色主要用於解決跨雲端服務授權訪問的問題,僅允許可信雲端服務扮演。

建立可信實體為阿里雲服務的RAM角色

身份供應商

主要用於實現與阿里雲的單點登入(SSO),僅允許可信身份供應商下的使用者扮演。

建立可信實體為身份供應商的RAM角色

許可權

許可權是指不同使用者身份對具體資源的訪問能力,即在某種條件下允許或拒絕對某些資源執行某些操作。

實體使用者身份許可權

實體使用者身份

預設許可權

是否需要授權

授權說明

阿里雲帳號

擁有資源的所有許可權

  • 阿里雲帳號有對其名下資源完全控制的許可權。

  • 任何其他使用者訪問雲資源都需要獲得阿里雲帳號的授權。

RAM使用者

無任何許可權

建立的RAM使用者只有在被授權之後,才能通過控制台和API訪問並使用雲資源。

阿里雲是通過RAM服務為不同身份綁定權限原則的方式實現授權。權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。

RAM服務支援以下兩種權限原則:

  • 阿里雲管理的系統策略:統一由阿里雲建立,使用者只能使用不能修改,策略的版本更新由阿里雲維護。

  • 使用者管理的自訂策略:使用者可以自主建立、更新和刪除,策略的版本更新由客戶自己維護。

您通過為RAM使用者(或RAM使用者組)綁定權限原則,可以使其獲得權限原則中指定的存取權限。詳情請參見為RAM使用者授權(或為RAM使用者組授權)。

虛擬使用者身份許可權

阿里雲的虛擬使用者身份RAM角色預設沒有任何許可權。

建立的RAM角色在指定可信實體後,只有在被授權之後,才能通過控制台和API訪問並使用雲資源。

您可以通過為RAM角色綁定權限原則,使其獲得權限原則中指定的存取權限。詳情請參見文檔:為RAM角色授權

相關文檔