全部产品
Search

搜索本产品

    阿里云物联网平台:物联网平台RAM授权说明

    文档中心

    阿里云物联网平台:物联网平台RAM授权说明

    更新时间:Dec 15, 2023

    如果您需要团队或部门成员的精细化控制权限,可为阿里云账号(主账号)创建RAM用户或RAM角色,并为其授予自定义权限策略,避免多用户共享阿里云账号(主账号)密码或访问密钥(AccessKey),降低安全风险。本文介绍物联网平台RAM服务的权限策略规则、RAM授权操作(Action)列表,以及如何通过RAM用户实现精细化授权。

    背景信息

    RAM和STS介绍和使用场景说明,请参见RAM和STS介绍。相关概念详细说明,请参见访问控制的基本概念

    RAM服务说明

    服务

    说明

    RAM云服务名称

    物联网平台。

    RAM代码

    iot

    是否支持在控制台进行访问控制

    支持。

    是否支持通过API进行访问控制

    支持。

    授权粒度

    操作级别,表示API级别的授权。一个RAM用户或RAM角色可以对指定云服务的某类资源执行某几个指定的操作。

    系统策略

    • AliyunIOTFullAccess:管理物联网平台(IoT)的权限。

    • AliyunIOTReadOnlyAccess:只读访问物联网平台(IoT)的权限。

    • AliyunIOTConsoleCommonAccess:物联网平台控制台通用权限。

    权限策略内容说明

    RAM中使用权限策略描述授权的具体内容,权限策略由效果(Effect)、操作(Action)、资源(Resource)、条件(Condition)和授权主体(Principal)等基本元素组成。权限策略的基本元素、语法结构和判定规则的详细说明,请参见权限策略语言

    物联网平台授权策略内容中基本元素的配置说明如下。

    元素名称

    是否必选

    说明

    效果(Effect)

    授权效果包括两种:允许(Allow)和拒绝(Deny)。

    说明

    当权限策略中既有Allow又有Deny时,遵循Deny优先原则。

    操作(Action)

    操作是指对具体资源的操作。

    物联网平台RAM授权操作代码格式统一为iot:${API名称},其中${API名称}为物联网平台操作功能的API名称,也对应物联网平台控制台操作功能。物联网平台公开提供的所有云端API,请参见物联网平台云端API列表

    在创建物联网平台授权策略时,多个Action以英文逗号(,)分隔,支持使用星号(*)通配符。例如iot:Create*Create*通配以Create开头的API名称,例如CreateProductCreateThingModelCreateProductTopic

    资源(Resource)

    资源是指被授权的具体对象。

    目前物联网平台不支持资源(例如产品或设备)粒度的授权,只支持API维度的授权,授权时,Resource只能设置为*

    条件(Condition)

    条件是指授权生效的条件。

    目前物联网平台的RAM用户授权策略支持访问IP限制、是否通过HTTPS访问、是否通过MFA(多因素认证)访问、访问时间限制的鉴权条件。

    使用场景示例,请参见Condition定义

    RAM授权操作(Action)列表

    您创建自定义权限策略时,需要指定具体的授权操作。物联网平台基于API操作授权,对应API名称及操作功能的详细内容,请参见物联网平台公开提供的所有云端API列表。RAM授权操作(Action)格式为iot:${API名称},下表列出物联网平台公开API的Action示例,及未公开API对应操作功能的Action。

    API名称或操作功能

    RAM授权操作(Action)

    资源 (Resource)

    接口说明

    CreateProduct

    iot:CreateProduct

    *

    创建产品。

    DeleteConsumerGroupSubscribeRelation

    iot:DeleteConsumerGroupSubscribeRelation

    *

    从AMQP订阅中的多个消费组移除指定消费组。

    配置AMQP服务端订阅

    iot:sub

    *

    支持AMQP服务端订阅连接。

    重置产品证书密钥

    iot:ResetProductSecret

    *

    重置产品证书的ProductSecret

    使用指导

    1. 创建账号管理员

      阿里云账号(主账号)对账号中的资源具有完全管理权限,且无法进行条件限制(例如:访问来源IP地址、访问时间等),多人共用时也无法在操作日志中区分出具体使用人,一旦泄露风险极大,强烈建议您不要使用阿里云账号(主账号)进行日常运维管理。

      您可以在RAM中创建一个RAM用户,授予AdministratorAccess权限,充当账号管理员,该管理员可以对账号下所有云资源进行管控操作。后续您可以通过该管理员创建多个RAM用户,进行分权管理。

    2. 创建自定义权限策略

      RAM提供了两种权限策略:系统权限策略和自定义权限策略。系统权限策略由阿里云统一提供,不支持修改。如果系统权限策略不能满足您的授权需求,您可以按需创建自定义权限策略,实现精细化权限管理。

    3. 创建RAM用户进行授权:

      • 创建单个RAM用户并授权

        您可以创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。

        当您的企业存在多用户协同访问资源的场景时,使用RAM可以按需为用户分配最小权限,避免多用户共享阿里云账号(主账号)密码或访问密钥,从而降低企业的安全风险。

      • 创建RAM用户组并授权

        RAM用户组是RAM中的一种实体身份类型,RAM用户组可以对职责相同的RAM用户进行分类并授权,从而更高效地管理RAM用户及其权限。

      • 创建RAM角色并授权,然后授予RAM用户角色扮演权限

        RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有永久身份凭证(登录密码或访问密钥),需要被一个可信实体扮演。扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就能以RAM角色身份访问被授权的资源。

    使用示例

    常见问题