当企业有多种云资源时,使用RAM的身份管理与权限管理功能,实现用户分权及资源统一管理。
前提条件
进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册。
背景信息
企业A的某个项目(Project-X)上云,购买了多种阿里云资源,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,需要的权限也不同。
企业A希望能够达到以下要求:
- 企业A不希望多员工共享同一个云账号,共享云账号可能导致密码或访问密钥泄露。
- 企业A希望能给员工创建独立账号(操作员账号)并独立分配权限,做到责权一致。
- 企业A希望用户账号只能在授权的前提下操作资源,所有用户账号的所有操作行为可审计。
- 企业A希望随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。
- 企业A不需要对用户账号进行独立的计量计费,所有发生的费用统一计入云账号账单。
解决方案
- 为云账号设置多因素认证,避免因云账号密码泄露导致风险。详情请参见为云账号设置多因素认证。
- 为不同员工(应用系统)创建RAM用户,并按需设置登录密码或创建访问密钥。详情请参见创建RAM用户。
- 如果有多个员工的职责相同,建议创建用户组,并将用户添加到用户组。详情请参见创建用户组。
- 为RAM用户或用户组添加一条或多条系统策略。详情请参见为RAM用户授权或为用户组授权。如果需要更细粒度的授权,可以创建自定义策略并为RAM用户或用户组进行授权。详情请参见创建自定义策略。
- 为不需要权限的RAM用户或用户组移除权限。详情请参见为RAM用户移除权限或为用户组移除权限。