RAM (Resource Access Management) 是阿里雲為客戶提供的 使用者身份管理資源存取控制 服務。使用 RAM,您可以建立、系統管理使用者帳號(比如員工、系統或應用程式),並可以控制這些使用者帳號對您名下資源具有的操作許可權。當您的企業存在多使用者協同操作資源時,使用 RAM 可以讓您避免與其他使用者共用雲帳號密鑰,按需為使用者指派最小許可權,從而降低您的公司資訊安全風險。

使用 RAM 進行身份管理和資源存取控制

RAM 允許在一個雲賬戶下建立並管理多個使用者身份,並允許給單個身份或一組身份(Identity)分配不同的授權策略(Policy),從而實現不同使用者擁有不同的雲資源存取權限。

使用者身份

RAM 使用者身份是指任意的通過控制台或 OpenAPI 操作阿里雲資源的人、系統或應用程式。為了支援多種應用情境的身份管理,RAM 支援兩種不同的使用者身份類型:RAM-User 和 RAM-Role。

  • RAM-User 是一種實體身份,有確定的身份 ID 和身份認證密鑰,它通常與某個確定的人或應用程式一一對應。

  • RAM-Role 是一種虛擬身份,有確定的身份 ID,但沒有確定的身份認證密鑰。

RAM-Role 需要與某個實體身份進行關聯之後才能被使用。一個 RAM-Role 可以與多種實體身份關聯,比如可以與當前雲帳號下的 RAM-User 關聯,與其它雲帳號下的 RAM-User 關聯,與阿里雲服務(EMR/MTS/…)關聯,與外部實體身份(如企業本地帳號)關聯。

授權策略

RAM 允許在雲帳號下建立並管理多個授權策略,每個授權策略本質上是一組許可權的集合。管理員可以將一個或多個授權策略分配給 RAM 使用者(包括 RAM-User 和 RAM-Role)。

RAM 授權策略語言可以表達精細的授權語義,可以指定對某個 API-Action 和 Resource-ID 授權,也可以支援多種限制條件(源 IP、訪問時間、多因素認證等)。

雲賬戶 vs RAM 使用者

  • 歸屬關係 上看,雲賬戶與 RAM 使用者是一種主子關係。
    • 雲賬戶是阿里雲資源歸屬、資源使用計量計費的基本主體。
    • RAM 使用者只能存在於某個雲賬戶下的 RAM 執行個體中。RAM 使用者不擁有資源,在被授權操作時所建立的資源歸屬於主賬戶;RAM 使用者不擁有賬單,被授權操作時所發生的費用也計入主賬戶賬單。
  • 許可權角度 看,雲賬戶與 RAM 使用者是一種 root 與 user 的關係(類比 Linux系統)。
    • Root 對資源擁有一切操作控制許可權。
    • User 只能擁有被 root 所授予的某些許可權,而且 root 在任何時刻都可以撤銷 user 身上的許可權。

使用 RAM 進行企業級雲資源管理

RAM 適用具有如下特點的企業情境:

  • 希望很簡單就能管理每個操作人員(或應用)的帳號及許可權。
  • 不需要分別核算每個操作人員(或應用)的成本和費用。

其具體需求如下圖所示:

图 1. 企業情境


  • 您的企業只需使用一個雲帳號(比如 companyA@aliyun.com)。
  • 所有資源都歸屬於該雲帳號的名下,雲帳號是資源的 Owner(掌握完全控制權的人),也是賬單的支付者。
  • 通過 RAM 為您名下的操作員(對資源進行營運管控操作)建立獨立的使用者帳號並進行授權管理。
  • 使用者帳號不擁有資源(對其所建立的資源預設沒有存取權限),只能操作被授權的資源。
  • 使用者帳號操作所發生費用都計入主帳號名下,不支援使用者帳號的獨立計量計費。

學習路徑圖

您可以通過RAM 學習路徑圖快速瞭解RAM,學習相關的基礎操作,並利用豐富的API、SDK包和便捷工具進行二次開發。