全部产品
Search
文档中心

:授权

更新时间:Nov 09, 2023

授权是指系统管理员或者资源所有者授予用户访问资源的权限。在用户身份验证通过之后,系统会根据用户的身份和权限来授权其对资源的访问。

阿里云账号

阿里云账号(主账号)对当前云账号下所有云资源有完全控制权限,无需授权,也无法修改授权。但是如果该账号归属于某个资源目录(Resource Directory),则它可能受到管控策略的限制,详情参见管控策略概述

RAM用户

您可根据业务的实际需要将系统预置策略或自定义策略授权给 RAM 用户,授权遵循最小可用原则,不可随意授权产品的FullAccess。RAM 用户授权详情可参见为RAM用户授权

RAM角色

RAM角色的授权比RAM用户授权多一步。

第一步:确定可信实体。您可以允许某个云账号,或者云账号下的某个RAM用户或RAM角色扮演该角色。

第二步:授权。具体授权操作请参见文档RAM角色概览

在对RAM角色进行授权时,需要尤其注意以下两种场景:

链式扮演

当A账号的RAM用户aRamUser1可以扮演B账号的RAM角色bRamRole1,而B账号bRamRole1可以扮演C账号的RAM角色cRamRole1时,虽然没有授权A账号可扮演C账号的cRamRole1,但是通过角色的链式扮演,可以实现A账号的aRamUser1扮演bRamRole1,再由bRamRole1扮演cRamRole1,访问C账号资源。

隐式授权

云账号下创建RAM角色时,如果我们选择授信实体为当前云账号,表示默认允许云账号下任何一个可以调用assumeRole权限的RAM用户或RAM角色扮演该RAM角色。如果该RAM角色被授予了很高的权限,会导致只被赋予了assumeRole的某个RAM用户或RAM角色具备很高的权限。