阿里云访问控制(Resource Access Management)服务是一个集中管理云上身份及访问权限的管理服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。
优点
-
增强安全性
支持多因素认证(MFA)技术来保护您的帐号安全
-
可用性
根据您的需求可以通过管理控制台或API来管理配置访问控制服务
-
集中管理
创建、管理、重命名及删除子用户,群组以及角色,并授予必要的权限
统一的管理阿里云资源的访问权限及用户身份
根据业务需求撤销单个或一批资源或用户的访问权限
-
支持多种授权场景
使用访问控制服务本身不需要支付任何费用,
只需要支付子用户在其他服务中购买资源所产生的消费
可以为企业出一份总账单,而不用因使用多个帐号产生零散的账单
产品详情
-
身份管理
用户身份管理
使用主帐号创建并管理用户的身份和权限
多因素认证
支持符合TOTP标准(RFC 6238)的多因素认证协议以保护您的密码安全
独立的密码策略管理
支持自定义密码强度策略并设置密码重试次数,密码有效期以及其他密码策略
用户组
通过用户组您可以将需要相同权限的用户加入同一个用户组
访问密钥(Access Key)
可以为子用户设置访问密钥(Access Key)来访问阿里云API
-
SSO(身份联合)
用户SSO
阿里云通过IdP颁发的SAML断言确定企业用户与阿里云RAM用户的对应关系 。企业用户登录后,使用该RAM用户访问阿里云
角色SSO
阿里云通过IdP颁发的SAML断言确定企业用户在阿里云上可以使用的RAM角色。企业用户登录后,使用SAML断言中指定的RAM角色访问阿里云
-
授权管理
允许或禁止
可以设置允许或禁止某一用户对某个资源进行某项操作,并可以附加其他条件
自定义授权
使用自定义授权可以更有效的管理用户权限
分组授权
使用用户组分组授权根据用户场景进行授权,可以有效的减少授权成本
用户授权
可以为您帐号下的用户或用户组授权
-
安全令牌服务
访问安全
通过使用访问控制(RAM)中的令牌颁发服务,您可以方便的将云上资源的部分访问权限颁发给移动客户端,使您的移动客户可以直接访问云上资源
自定义有效期
支持自定义令牌有效期以提高安全性
-
高度灵活
细粒度授权
允许对单个资源的单个操作授权。 例如,可以授权允许创建,操作及删除资源
多维度授权
从访问者IP, 时间等多重维度对访问者权限进行限制
版本管理机制
维护多个授权策略版本,以减小策略误修改的风险
-
免费使用
免费使用
RAM本身不收取费用,只有在您使用RAM用户/角色访问其他产品时才会收取该产品的相应费用
统一账单
您将会收到所有RAM用户/角色对阿里云资源操作所产生的统一账单
领军客户实战场景
企业用户账号管理与分权
企业A的某个项目上云,购买了多种云资源。项目里有多个员工需要操作这些云资源,比如有的负责购买,有的负责运维,还有的负责线上应用。由于每个员工的工作职责不一样,需要的权限也不一样。出于安全或信任的考虑,A不希望将云账号密钥直接透露给员工,而希望能给员工创建相应的用户账号。用户账号只能在授权的前提下操作资源,不需要对用户账号进行独立的计量计费,所有开销都算在A的头上。当然,A随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。
针对移动App的临时授权管理
企业A开发了一款移动App,并购买了OSS服务。移动App需要上传数据到OSS(或从OSS下载数据),A不希望所有App都通过AppServer来进行数据中转,而希望让App能直连OSS上传/下载数据。由于移动App运行在用户自己的终端设备上,这些设备并不受A的控制。出于安全考虑,A不能将访问密钥保存到移动App中。A希望将安全风险控制到最小,比如,每个移动App直连OSS时都必须使用最小权限的访问令牌,而且访问时效也要很短(比如30分钟)。
常见问题
1. 如何开始使用访问控制服务?
在您注册了阿里云帐号之后,您可以使用阿里云管理控制台或访问控制 API 来创建用户及用户组并为其分配权限。
2. 怎样使用子用户登录控制台?
您可以访问子用户登录页登录,也可以使用控制台概览页的子用户登录链接登录。
3. 有哪些云产品支持访问控制服务?
请参考文档支持RAM的云服务。
4. 什么是角色?
RAM角色是一种虚拟用户(或影子账号),它是RAM用户类型的一种。这种虚拟用户有确定的身份,也可以被赋予一组权限(Policy), 但它没有确定的身份认证密钥,而只能被 RAM 用户扮演。
5. 哪些权限可以授予RAM用户?
一个新用户默认没有任何权限。一个 RAM 用户代表一个操作者,必须被显示的授权进行某项操作。只有在授权之后,RAM 用户才能通过控制台或 API 进行相应操作。
6. 什么是授权策略?
一个授权策略是通过授权策略语言描述的一组权限。授权策略可以精确的定义资源集合和操作集合,以及其他授权条件限制。
7. 如果查看阿里云系统授权策略?
登录访问控制管理控制台并进入授权策略管理页,即可查看所有系统授权策略。
8. 什么是RoleARN?
RoleARN是一个权限资源描述符用来唯一的表示一个角色。RoleARN遵循阿里巴巴 ARN命名规则。
例如,某个云帐号下角色"devops"的RoleARN是"acs:ram::1234567890123456:role/devops"
9. 如何删除一个具有多版本的授权策略?
首先您需要确保除了默认版本以外的其他版本都已删除。只有当授权策略只有默认版本存在时,授权策略才可以被删除。
10. 如何分配常用权限?
阿里云提供一组定义了常用权限的系统授权策略。这些授权策略由阿里云定义,例如ECS只读权限,ECS 完全管理权限。您可以使用这些系统授权策略,但无法修改他们。
11. 如何创建一个自定义授权策略?
1. 登录访问控管理控制台,选择授权策略管理,然后进入自定义授权策略选项卡;
2. 单击“新建授权策略”;
3. 选择一个授权策略模板;
4. 编辑名称,备注以及策略内容;
5. 在编辑完成后,点击添加策略以完成授权策略的创建。
12. 如何为一个群组授予权限?
1. 登录访问控制控制台并进入群组管理;
2. 选择一个组,点击“授权”进入授权页;
3. 选择添加您需要的权限,点击确定即可授权。
13. 如果为一组用户分配相同的权限?
您可以将权限授予用户组,组内的用户都将继承群组的权限。
14. RAM 用户拥有哪几种安全密钥?
RAM 用户可以使用AccessKey访问阿里云 API,或通过用户名密码登录阿里云控制台访问资源。您也可以启用多因素认证(MFA)来加入额外的口令验证,这将使您的账户安全提升到一个新的等级。