本文介绍如何使用访问控制RAM(Resource Access Management)在账号级别上控制对云存储网关资源的访问,具体通过创建RAM用户(组)并授予特定权限策略实现。
背景信息
访问控制RAM是阿里云提供的资源访问控制服务,使用RAM还可以让您避免与其他用户共享云账号密钥(AccessKey),按需为用户分配最小权限,从而降低您的企业信息安全风险。更多详情,请参见什么是访问控制。
用户:如果您创建了多个云存储网关,您的组织里有多个用户需要使用这些网关,您可以创建一个策略允许部分用户使用这些网关。避免了将同一个AccessKey泄露给多人的风险。
用户组:您可以创建多个用户组,并授予不同权限策略,起到批量管理的效果。
创建RAM用户
使用主账号登录 RAM访问控制台。
在左侧导航栏中,选择,单击创建用户。
配置用户账号信息。
配置访问方式,勾选控制台访问或OpenAPI调用访问。
勾选自定义密码,输入一个初始密码,并勾选用户在下次登录时必须重置密码。
(可选)启动多因素认证设备,单击确定。
保存生成的账号、密码、AccessKeyID和AccessKeySecret。
说明请及时保存该 AccessKey 信息,并妥善保管。
创建用户组
如果您需要创建多个RAM用户,您可以选择通过创建用户组对职责相同的RAM用户进行分类并授权,从而更方便地管理用户及其权限。
使用主账号登录 RAM访问控制台。
在左侧导航栏中,选择,单击创建用户组。
填写用户组名称和显示名称,单击确定。
为RAM用户/用户组分配授权策略
新建的RAM用户/用户组默认没有任何操作权限,只有在被授权策略之后,才能通过控制台和API操作资源。此处以RAM用户为例,介绍授权操作步骤。
在用户页面,选择要授权的子账号,单击添加权限。
在添加权限页面,添加如下权限,为子账号授权。
云上网关需添加如下4种权限,本地网关只需添加AliyunHCSSGWFullAccess和AliyunOSSFullAccess权限。
AliyunHCSSGWFullAccess:管理云存储网关服务(HCS-SGW)的权限
AliyunOSSFullAccess:管理对象存储服务(OSS)权限
AliyunVPCFullAccess:管理专有网络(VPC)的权限
AliyunECSFullAccess:管理云服务器服务(ECS)的权限
