Resource Access Management (RAM)是阿里雲提供的系統管理使用者身份與資源存取權限的服務,能夠協助您安全集中地管理雲資源的使用者以及使用者對雲資源的使用和訪問。Global Accelerator支援通過RAM實現對產品資源的存取控制和管理。
概述
存取控制RAM使用許可權來描述使用者、使用者組、角色對具體資源的訪問能力,權限原則是一組存取權限的集合。RAM使用者、使用者組或RAM角色通過綁定權限原則,可以獲得權限原則中指定的存取權限。
許可權
雲帳號、RAM使用者、資源建立者所擁有的許可權說明如下:
阿里雲帳號(資源屬主)控制所有許可權。
每個資源有且僅有一個資源屬主,該資源屬主必須是阿里雲帳號,對資源擁有完全控制許可權。
資源屬主不一定是資源建立者。例如:一個RAM身份被授予建立資源的許可權,該RAM身份建立的資源歸屬於阿里雲帳號,該RAM身份是資源建立者但不是資源屬主。
RAM身份(操作員)預設無任何許可權。
RAM身份代表的是操作員,其所有操作都需被阿里雲帳號顯式授權。
建立的RAM身份預設沒有任何操作許可權,只有在被授權之後,才能通過控制台和API操作資源。
權限原則
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。
RAM支援以下兩種權限原則:
系統策略:統一由阿里雲建立,您只能使用不能修改,策略的版本更新由阿里雲維護。Global Accelerator的系統策略,請參見Global Acceleration系統權限原則參考。
自訂策略:如果系統策略不能滿足您的要求,您可以建立自訂策略實現精細化的許可權管理。如何建立自訂策略,請參見Global Acceleration自訂權限原則參考。
為RAM主體綁定權限原則
權限原則建立後,RAM使用者、使用者組或RAM角色需綁定權限原則,才能獲得權限原則中指定的存取權限。
支援為RAM使用者、使用者組或RAM角色綁定一個或多個權限原則。
綁定的權限原則可以是系統策略也可以是自訂策略。
如果綁定的權限原則被更新,更新後的權限原則自動生效,無需重新綁定權限原則。
使用服務關聯角色
服務關聯角色是一種可信實體為阿里雲服務的RAM角色,旨在解決跨雲端服務的授權訪問問題。服務關聯角色是與某個雲端服務關聯的角色。多數情況下,在您使用特定功能時,關聯的雲端服務會自動建立或刪除服務關聯角色,不需要您主動建立或刪除。通過服務關聯角色可以更好地配置雲端服務正常操作所必需的許可權,避免誤操作帶來的風險。
服務關聯角色的權限原則由關聯的雲端服務定義和使用,您不能修改或刪除權限原則,也不能為服務關聯角色添加或移除許可權。
使用Global Accelerator訪問其他雲資源時,Global Accelerator會在獲得您的授權後,建立一個對應的服務關聯角色,用於允許Global Accelerator訪問其他雲資源。Global Accelerator相關的服務關聯角色,請參見服務關聯角色策略。