ECS 執行個體 RAM(Resource Access Management) 角色(以下簡稱 執行個體 RAM 角色)是 RAM 角色的一種,它讓 ECS 執行個體扮演具有某些許可權的角色,從而賦予執行個體一定的存取權限。
執行個體 RAM 角色允許您將一個角色 關聯到 ECS 執行個體,在執行個體內部基於 STS (Security Token Service)臨時憑證(臨時憑證將周期性更新)訪問其他雲產品的 API。這樣,一方面可以保證 AccessKey 安全,另一方面也可以藉助 RAM 實現許可權的精細化控制和管理。
設計背景
一般情況下,ECS 執行個體的應用程式是通過 使用者帳號 或者用户 的 AccessKey (AccessKeyId + AccessKeySecret)訪問阿里雲各產品的 API。
為了滿足調用需求,需要直接把 AccessKey 固化在執行個體中,如寫在設定檔中。但是這種方式存在許可權過大、泄露資訊和難以維護等問題。因此,我們設計了執行個體 RAM 角色解決這些問題。
功能優勢
使用執行個體 RAM 角色,您可以:
-
藉助執行個體 RAM 角色,將角色 和 ECS 執行個體關聯起來。
-
安全地在 ECS 執行個體中使用 STS 臨時憑證訪問阿里雲的其他雲服務,如 OSS、ECS、RDS 等。
-
為不同的執行個體賦予包含不同授權策略的角色,使它們對不同的雲資源具有不同的存取權限,實現更精細粒度的許可權控制。
-
無需自行在執行個體中保存 AccessKey,通過修改角色的授權即可變更許可權,快捷地維護 ECS 執行個體所擁有的存取權限。
費用詳情
Elastic Compute Service 不對執行個體 RAM 角色收取額外的費用。
使用限制
使用執行個體 RAM 角色存在如下限制:
-
只有專有網路 (VPC) 網路類型的執行個體才能使用執行個體角色。
-
一個 ECS 執行個體一次只能授予一個執行個體 RAM 角色。
使用執行個體 RAM 角色
目前有兩種使用 RAM 角色的方式:
參考連結
-
您可以參閱文檔支持RAM的云服务 查看支援 STS 臨時憑證的雲服務。
-
您可以參閱文檔 藉助執行個體 RAM 角色訪問其它雲產品 API 查看如何訪問其他雲產品的 API 。