存取控制RAM(Resource Access Management)是阿里雲提供的系統管理使用者身份與資源存取權限的服務。
功能特性
統一管理訪問身份及許可權
- 集中式存取控制
- 集中管理RAM使用者:管理每個RAM使用者及其登入密碼或存取金鑰,為RAM使用者綁定多因素認證MFA(Multi Factor Authentication)裝置。
- 集中控制RAM使用者的存取權限:控制每個RAM使用者訪問資源的許可權。
- 集中控制RAM使用者的資源訪問方式:確保RAM使用者在指定的時間和網路環境下,通過安全通道訪問特定的阿里雲資源。
- 外部身份整合
- 單點登入SSO(Single Sign On):支援阿里雲與企業身份供應商IdP(Identity Provider)進行使用者SSO或角色SSO,使用企業IdP中的帳號登入阿里雲。
精細多元的使用權限設定能力
- 豐富的權限原則
RAM提供了多種滿足日常營運人員職責所需要的系統權限原則。如果系統權限原則不能滿足您的需求,您還可以通過圖形化工具快速地建立自訂權限原則。
- 精細的控制粒度
- 支援在資源級和操作級向RAM使用者、RAM使用者組和RAM角色授予存取權限。
- 支援根據請求源IP地址、日期時間、資源標籤等條件屬性建立更精細的資源存取控制策略。
- 支援指定授權範圍為整個阿里雲帳號或指定資源群組。
雲SSO實現多帳號統一身份許可權管理
雲SSO提供基於阿里雲資來源目錄RD(Resource Directory)的多帳號統一身份管理與存取控制。您可以在雲SSO中進行一次性統一配置,即可完成面向多個阿里雲帳號的身份管理、單點登入和許可權配置。為了實現這一目標,雲SSO提供了獨立於RAM的身份目錄,但其許可權管理複用了RAM中的系統策略和自訂策略文法。此外,雲SSO使用者對RD帳號的訪問,本質上是雲SSO使用者扮演每個RD帳號中的RAM角色進行的再一次單點登入。
免費使用
RAM為免費產品,經過實名認證的阿里雲帳號可以直接使用,不收取任何費用。
產品優勢
使用RAM,您可以建立、管理RAM使用者(例如員工、系統或應用程式),並可以控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源的情境時,RAM可以讓您避免與其他使用者共用阿里雲帳號密鑰,按需為使用者指派最小許可權,從而降低企業的資訊安全風險。
應用情境
| 應用情境 | 描述 |
| 使用者管理與分權 | 企業A的某個專案(Project-X)上雲,購買了多種阿里雲資源,例如:ECS執行個體、RDS執行個體、SLB執行個體和OSS儲存空間等。專案裡有多個員工需要操作這些雲資源,由於每個員工的工作職責不同,需要的許可權也不同。 企業A希望能夠達到以下要求:
|
| 行動裝置 App使用臨時安全性權杖訪問阿里雲 | 企業A開發了一款行動裝置 App(App),併購買了Object Storage Service服務。App需要直連OSS上傳或下載資料,但是App運行在使用者自己的行動裝置上,這些裝置不受企業A的控制。 企業A有如下要求:
|
| 跨阿里雲帳號的資源授權 | 企業A購買了多種阿里雲資源來開展業務,例如:ECS執行個體、RDS執行個體、SLB執行個體和OSS儲存空間等。企業A希望將部分業務授權給企業B。 企業A有如下要求:
|
| 對雲上應用進行動態身份管理與授權 | 企業A購買了ECS執行個體,並計劃在ECS中部署企業的應用程式。這些應用程式需要使用存取金鑰(AccessKey)訪問其它雲端服務API。 |
| RAM資源分組與授權 | 遊戲公司A正在開發3個遊戲專案,每個遊戲專案都會用到多種雲資源。公司A只有1個阿里雲帳號,該阿里雲帳號下有超過100個ECS執行個體。 公司A有如下要求:
|
使用方式
註冊阿里雲帳號後,您可以通過以下方式使用Resource Access Management使用者身份與資源存取權限:
- RAM控制台
具有互動式操作的Web服務頁面。您可登入RAM控制台完成相關操作。
- 阿里雲SDK
- OpenAPI開發人員門戶
提供快速檢索介面、線上調用API和動態產生SDK範例程式碼等服務。更多資訊,請參見OpenAPI開發人員門戶。
- 阿里雲CLI
通過命令列的方式調用API。更多資訊,請參見什麼是阿里雲CLI?。