全部產品
Search

搜尋本產品

    :身份

    文件中心

    :身份

    更新時間:Nov 09, 2023

    身份是指使用者在系統中的唯一識別碼,通過身份,系統可以識別使用者的身份,確定其操作許可權。阿里雲的身份類型主要有:阿里雲帳號,RAM使用者,RAM角色。

    阿里雲帳號

    阿里雲帳號(主帳號)是阿里雲資源歸屬、資源使用計量計費的基本主體。阿里雲帳號為其名下所擁有的資源付費,並對其名下所有資源擁有完全控制許可權。除了一些要求必須使用阿里雲帳號的情境外,我們建議您使用RAM使用者或RAM角色身份存取控制台和調用OpenAPI。

    RAM 使用者

    RAM使用者是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程式一一對應。RAM使用者具備以下特點:

    • RAM使用者由阿里雲帳號(主帳號)或具有管理員權限的其他RAM使用者、RAM角色建立,建立成功後,歸屬於該阿里雲帳號,它不是獨立的阿里雲帳號。

    • RAM使用者不擁有資源,不能獨立計量計費,由所屬的阿里雲帳號統一付費。

    • RAM使用者必須在獲得授權後,才能登入控制台或使用API訪問阿里雲帳號下的資源。

    • RAM使用者擁有獨立的登入密碼或存取金鑰。

    • 一個阿里雲帳號下可以建立多個RAM使用者,對應企業內的員工、系統或應用程式。

    更多詳情請參見RAM使用者概覽

    使用建議

    建立獨立的 RAM 使用者

    您可按照地區、產品、開發環境、組織等維度為不同的開發人員建立多個獨立的 RAM 使用者。分權操作的好處是不同的 RAM 使用者有明確的業務歸屬,容易區分和操作分析。

    多個使用者共用一個 RAM 使用者的壞處:

    1. 一旦出現異常操作,只能確定是該 RAM 使用者執行,但由於多個組織共用該 RAM 使用者,還是很難定位到具體的組織或人。

    2. 一旦 RAM 使用者的 AK 泄漏,需要立即禁用 AK,很多業務可能都寫入程式碼了該 AK 資訊,導致短時間內無法立即禁用 AK,只能等業務改造完畢後才能禁用,增大系統風險。

    將控制台使用者與API使用者分離

    不建議為一個RAM使用者同時建立用於控制台操作的登入密碼和用於API調用的存取金鑰。將兩個不同的使用情境進行分離,避免員工誤操作導致服務受到影響。

    建議操作:

    • 應用程式帳號:只需要通過API訪問資源,建立存取金鑰即可。

    • 員工帳號:只需要通過控制台操作資源,設定登入密碼即可。

    RAM角色

    RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。扮演成功後,可信實體將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用該安全性權杖就能以RAM角色身份訪問被授權的資源。

    例如:阿里雲帳號 A 開放了一個 RAM 角色a_rr1,授權 OSS 產品的FullAccess,將該 RAM 角色的扮演者指定為阿里雲帳號 B 的 RAM 使用者b_ru1。那麼開發人員可通過登入 B 帳號的 RAM 使用者b_ru1,通過角色扮演 A 帳號的a_rr1,管理 A 帳號的 OSS 資源。

    RAM角色類型

    根據不同的可信實體,RAM角色分為以下三類:

    • 可信實體為阿里雲帳號的RAM角色:允許RAM使用者扮演的角色。扮演角色的RAM使用者可以屬於自己的阿里雲帳號,也可以屬於其他阿里雲帳號。該類角色主要用於解決跨帳號訪問和臨時授權問題。

    • 可信實體為阿里雲服務的RAM角色:允許雲端服務扮演的角色。分為普通服務角色和服務關聯角色兩種。該類角色主要用於解決跨服務訪問問題。

    • 可信實體為身份供應商的RAM角色:允許可信身份供應商下的使用者所扮演的角色。該類角色主要用於實現與阿里雲的單點登入(SSO)。

    應用情境

    • 臨時授權訪問

      通常情況下,建議您通過服務端調用API,儘可能保證存取金鑰不被泄露。但是有些上傳檔案的情境最好採用用戶端直傳的形式,避免服務端中轉帶來的多餘開銷。此時,可以由服務端下發臨時安全性權杖(STS Token),用戶端通過臨時安全性權杖(STS Token)進行資源直傳。

      更多資訊,請參見行動裝置 App使用臨時安全性權杖訪問阿里雲

    • 跨帳號訪問

      當您擁有多個阿里雲帳號,例如:帳號A和帳號B,希望實現帳號A訪問帳號B的指定資源。此時,您可以在帳號B下建立可信實體為帳號A的RAM角色,並授權允許帳號A下的某個RAM使用者或RAM角色可以扮演該角色,然後通過該角色訪問帳號B的指定資源。

      更多資訊,請參見跨阿里雲帳號的資源授權

    • 跨服務訪問

      在某些情境下,一個雲端服務為了完成自身的某個功能,需要擷取其他雲端服務的存取權限。例如:配置審計(Config)服務要讀取您的雲資源資訊,以擷取資源清單和資源配置變更歷史,就需要擷取ECS、RDS等產品的存取權限。此時,您可以建立可信實體為阿里雲服務的RAM角色解決該問題。推薦您優先使用服務關聯角色,對於不支援服務關聯角色的雲端服務,請使用普通服務角色。

      更多資訊,請參見支援服務關聯角色的雲端服務

    • 單點登入(角色SSO)

      阿里雲與企業進行角色SSO時,阿里雲是服務提供者(SP),而企業自有的身份管理系統則是身份供應商(IdP)。通過角色SSO,企業可以在本地IdP中管理員工資訊,無需進行阿里雲和企業IdP間的使用者同步,企業員工將使用指定的RAM角色登入阿里雲。此時,您可以建立可信實體為身份供應商的RAM角色解決該問題。

      更多資訊,請參見SAML角色SSO概覽OIDC角色SSO概覽