RAM角色(RAM role)與RAM使用者一樣,都是RAM身份類型的一種。RAM角色是一種虛擬使用者,沒有確定的身份認證密鑰,需要被一個受信的實體使用者扮演才能正常使用。
RAM角色基本概念
概念 | 說明 |
---|---|
RAM角色(RAM role) | RAM角色是一種虛擬使用者,與實體使用者(阿里雲帳號、RAM使用者和雲端服務)和教科書式角色(Textbook role)不同。
|
角色ARN(Role ARN) | 角色ARN是角色的全域資源描述符,用來指定具體角色。ARN遵循阿里雲ARN的命名規範。例如,某個阿里雲帳號下的devops角色的ARN為:acs:ram::123456789012****:role/samplerole 。建立角色後,單擊角色名稱後,可在基本資料頁查看其ARN。
|
可信實體(Trusted entity) | 角色的可信實體是指可以扮演角色的實體使用者身份。建立角色時必須指定可信實體,角色只能被受信的實體扮演。可信實體可以是受信的阿里雲帳號、受信的阿里雲服務或身份供應商。 |
權限原則(Policy) | 一個角色可以綁定一組權限原則。沒有綁定權限原則的角色也可以存在,但不能訪問資源。 |
扮演角色(Assume role) | 扮演角色是實體使用者擷取角色身份的安全性權杖的方法。一個實體使用者調用STS API AssumeRole可以獲得角色的安全性權杖,使用安全性權杖可以訪問雲端服務API。 |
切換身份(Switch role) | 切換身份是在控制台中實體使用者從當前登入身份切換到角色身份的方法。一個實體使用者登入到控制台之後,可以切換到被許可扮演的某一種角色身份,然後以角色身份操作雲資源。當使用者不需要使用角色身份時,可以從角色身份切換回原來的登入身份。 |
角色令牌(Role token) | 角色令牌是角色身份的一種臨時存取金鑰。角色身份沒有確定的存取金鑰,當一個實體使用者要使用角色時,必須通過扮演角色來擷取對應的角色令牌,然後使用角色令牌來調用阿里雲服務API。 |
RAM角色使用方法
- RAM角色指定可信實體,即指定可以扮演角色的實體使用者身份。
- 可信實體通過控制台或調用API扮演角色並擷取角色令牌。
- 通過控制台扮演角色:切換身份是在控制台中實體使用者從當前登入身份切換到RAM角色身份的方法,詳情請參見使用RAM角色。
- 通過調用API扮演角色:一個實體使用者通過調用AssumeRole可以獲得角色令牌,使用角色令牌可以訪問雲端服務API。
说明 扮演角色是實體使用者擷取RAM角色令牌的方法,角色令牌是角色身份的一種臨時訪問憑證,使用角色令牌可以訪問阿里雲資源。 - 為RAM角色綁定權限原則,詳情請參見為RAM角色授權。
说明 一個RAM角色可以綁定一組權限原則,沒有綁定權限原則的角色也可以存在,但不能訪問資源。
- 受信實體通過扮演角色,使用角色令牌訪問阿里雲資源。
RAM角色類型
根據RAM可信實體的不同,RAM支援下表所示的三種類型的角色:
角色類型 | 應用情境 | 相關文檔 |
---|---|---|
阿里雲帳號 | 允許RAM使用者所扮演的角色。扮演角色的RAM使用者可以是自己的阿里雲帳號,也可以是其他阿里雲帳號。該類角色主要用於解決跨帳號訪問和臨時授權問題。 | |
阿里雲服務 | 允許雲端服務所扮演的角色。該類角色主要用於解決跨雲端服務授權訪問的問題。 | |
身份供應商 | 允許受信身份供應商下的使用者所扮演的角色。該類角色主要用於實現與阿里雲的角色SSO。 |