本文为您介绍RAM用户同步的定义、使用流程和使用限制。
什么是RAM用户同步
云SSO用户可以通过RAM角色或RAM用户访问RD账号的云资源,两种访问方式的差异如下表所示。本文主要为您介绍通过RAM用户登录的访问方式,即您可以配置RAM用户同步,在目标RD账号中同步创建一个与云SSO用户同名的RAM用户,然后通过该RAM用户访问该RD账号中的资源。
访问方式 | 描述 | 适用场景 | 相关文档 |
以RAM用户登录 | 企业在云SSO集中管理访问阿里云的用户,通过RAM用户同步,实现用户登录到资源目录成员内的RAM用户,然后访问该RD成员中的云资源。 | 适用不支持RAM角色的云服务。 | |
以RAM角色登录 | 企业在云SSO集中管理访问阿里云的用户,通过访问配置和多账号授权,实现用户通过单点登录的方式登录到资源目录成员内的RAM角色,然后访问该RD成员中的云资源。 | 适用支持RAM角色的云服务。 |
使用流程
使用RD管理账号在云SSO中配置RAM用户同步。
配置成功后,会在目标RD成员中创建一个与云SSO用户同名的RAM用户。具体操作,请参见步骤一:配置RAM用户同步。
使用RD管理账号访问目标RD成员,为上一步创建的RAM用户授权。
RAM用户默认没有任何权限,您需要授予其对应资源的权限。具体操作,请参见步骤二:为RAM用户授权。
云SSO用户通过RAM用户身份访问目标RD成员中的有权限的资源。
具体操作,请参见步骤三:云SSO用户访问阿里云。
使用限制
通过本文所述功能在RD成员中创建的RAM用户只能通过云SSO的访问方式登录,不支持RAM用户名密码登录。
RAM用户同步任务未删除时,同步的RAM用户不支持手动删除。只有删除RAM用户同步任务后,对于保留的RAM用户才支持您手动删除。更多信息,请参见删除RAM用户同步。