藉助存取控制RAM的RAM使用者,您可以實現阿里雲帳號(主帳號)和RAM使用者(子帳號)許可權分割,按需為RAM使用者賦予不同的許可權,避免因暴露阿里雲帳號密鑰而造成安全風險。
背景資訊
企業A開通了雲訊息佇列 RabbitMQ 版服務,該企業需要員工操作雲訊息佇列 RabbitMQ 版服務所涉及的資源,例如執行個體、Vhost、Queue和Exchange。由於每個員工的工作職責不一樣,需要的許可權也不一樣。企業A的需求如下:
-
出於安全或信任的考慮,不希望將雲帳號密鑰直接透露給員工,而希望能給員工建立相應的使用者帳號。
-
使用者帳號只能在授權的前提下操作資源,不需要對使用者帳號進行獨立的計量計費,所有開銷都計入企業帳號名下。
-
隨時可以撤銷使用者帳號的許可權,也可以隨時刪除其建立的使用者帳號。
步驟一:建立RAM使用者
使用企業A的阿里雲帳號登入RAM控制台並為員工建立RAM使用者。
操作步驟
控制台
使用阿里雲帳號(主帳號)或擁有Resource Access Management員許可權(
AliyunRAMFullAccess)的RAM使用者登入RAM控制台。在左側導覽列,選擇。
在用户頁面,單擊创建用户。
在创建用户頁面的用户账号信息地區,設定使用者基本資料。
登录名称(必填):可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。
顯示名稱(選填):最多包含128個字元或漢字。
标签(選填):單擊
,然後輸入標籤鍵和標籤值,便於後續基於標籤的使用者管理。
說明單擊添加用户,可以大量建立多個RAM使用者。
在访问方式地區,根據使用者類型進行配置:
重要為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。
存取金鑰(AccessKey)是一種長期有效程式訪問憑證。AccessKey泄露會威脅該帳號下所有資源的安全。建議優先採用STS Token臨時憑證方案,降低憑證泄露的風險。更多資訊,請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務。
給員工使用(控制台访问)
勾選控制台访问。
设置密码:您可以選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼策略。
需要重置密码:選擇RAM使用者在下次登入時是否需要重設密碼。
MFA 多因素认证:帳號預設設定為強制所有使用者登入時必須使用 MFA。如需修改,請參考管理RAM使用者安全設定。RAM使用者首次登入時需要綁定MFA裝置,請參考RAM使用者自行綁定MFA裝置。
給程式使用(使用永久AccessKey訪問)
勾選使用永久AccessKey訪問。
啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。
重要RAM使用者的AccessKey Secret只在建立時顯示,不支援後續查看,請務必立即下載或複製儲存AccessKey Secret。泄露AccessKey將嚴重威脅您帳號下所有資源的安全。更多資訊詳見建立AccessKey。
OpenAPI
建立控制台使用者
調用GetDefaultDomain擷取帳號的預設網域名稱,格式為
<AccountAlias>.onaliyun.com。調用CreateUser建立RAM使用者,其中必傳的參數建議如下:
UserPrincipalName:RAM 使用者的登入名稱稱。格式為<username>@<AccountAlias>.onaliyun.com,其中<username>為 RAM 使用者名稱稱,<AccountAlias>.onaliyun.com為預設網域名稱。DisplayName:RAM使用者的顯示名稱,可以與上面<username>不同。
調用CreateLoginProfile修改訪問方式和MFA要求等,其中部分參數的建議如下:
UserPrincipalName:上一步已建立的使用者資訊。Password:根據帳號的密碼強度要求配置。可以調用GetPasswordPolicy查詢當前帳號的RAM使用者密碼強度策略。MFABindRequired:建議設定強制要求RAM使用者開啟MFA,參數建議為true。Status:是否開啟控制台密碼登入,保持預設值Active
建立程式使用者
調用GetDefaultDomain擷取帳號的預設網域名稱,格式為
<AccountAlias>.onaliyun.com。調用CreateUser建立RAM使用者,其中必傳的參數建議如下:
UserPrincipalName:RAM 使用者的登入名稱稱。格式為<username>@<AccountAlias>.onaliyun.com,其中<username>為 RAM 使用者名稱稱,<AccountAlias>.onaliyun.com為預設網域名稱。DisplayName:RAM使用者的顯示名稱,可以與上面<username>不同。
調用CreateAccessKey建立存取金鑰(AccessKey),僅需傳入
UserPrincipalName,即上一步已建立的使用者資訊即可完成AccessKey建立。重要調用
CreateAccessKey介面的返回結果中會包含AccessKeyId和AccessKeySecret。AccessKeySecret僅在本次返回中提供,無法後續查詢,請務必立即儲存。泄露AccessKey將嚴重威脅您帳號下所有資源的安全。更多資訊詳見建立AccessKey。
步驟二:為RAM使用者添加許可權
為不同員工的RAM使用者授予不同的許可權。
-
在{key, select, CreateUser {創建用戶} DeleteUser {刪除用戶} CreateGroup {創建用戶組} DeleteGroup {刪除用戶組} AttachPolicy {新增授權} AddUserToGroup {添加用戶到用戶組} AddToGroup {添加到用戶組} RemoveFromGroup {從用戶組移除} AddUserTo {添加用戶} RemoveUserFrom {移除用戶} AddTags {編輯標籤} RemoveTags {刪除標籤} SubmitAgain {重試} ViewDocs {查看文檔} GoToCloudGov {前往治理} other {{key}} }面板,為RAM使用者添加許可權。
-
選擇資源範圍。
-
帳號層級:許可權在當前阿里雲帳號內生效。
-
資源群組層級:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務已支援資源群組,詳情請參見支援資源群組的雲端服務。
-
-
指定授權主體。
授權主體即需要添加許可權的RAM使用者。
-
選擇{key, select, RAM {RAM 訪問控制} Overview {概覽} Identities {身份管理} Users {用戶} Groups {用戶組} Roles {角色} Settings {設置} Permissions {權限管理} Grants {授權} Troubleshoot {權限診斷} Policies {權限策略} Integrations {集成管理} Providers {SSO 管理} Applications {OAuth 應用(公測)} CloudSSO {多賬號身份權限(雲 SSO)} AccessAnalyzing {訪問分析} Analyzers {分析器} Findings {分析結果} Beta {Beta} Governance {雲治理中心} other {{key}} }。
權限原則是一組存取權限的集合,分為兩種:
-
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
-
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。
-
-
單擊確認新增授權。
-
-
單擊关闭。
後續步驟
企業A的員工的RAM使用者可以通過以下方式訪問企業A的雲訊息佇列 RabbitMQ 版。
-
控制台
-
在瀏覽器開啟RAM使用者登入入口。
-
在RAM使用者登入頁面,輸入RAM使用者名稱稱,單擊下一步,輸入RAM使用者密碼,然後單擊登入。
說明RAM使用者登入名稱稱的格式為<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias>為帳號別名,如果沒有設定帳號別名,則預設值為阿里雲帳號的ID。
-
-
API
在代碼中使用RAM使用者的AccessKey ID和AccessKey Secret調用API訪問雲訊息佇列 RabbitMQ 版。