藉助存取控制RAM的RAM使用者,您可以實現許可權分割的目的,按需為RAM使用者賦予不同許可權,並避免因暴露阿里雲帳號密鑰造成的安全風險。
背景資訊
出於安全考慮,您可以為阿里雲帳號建立RAM使用者,並根據需要為這些RAM使用者賦予不同的許可權,這樣就能在不暴露阿里雲帳號密鑰的情況下,實現讓RAM使用者各司其職的目的。在本文中,假設企業A希望讓部分員工處理日常營運工作,則企業A可以建立RAM使用者,並為RAM使用者賦予相應許可權,此後員工即可使用這些RAM使用者登入控制台或調用API。
Managed Service for OpenTelemetry支援的系統權限原則如下所示。
權限原則 | 類型 | 說明 |
AliyunTracingAnalysisFullAccess | 系統 | Managed Service for OpenTelemetry的完整許可權 |
AliyunTracingAnalysisReadOnlyAccess | 系統 | Managed Service for OpenTelemetry的唯讀許可權 |
操作步驟
後續步驟
使用阿里雲帳號建立好RAM使用者後,即可將RAM使用者的登入名稱稱及密碼或者AccessKey資訊分發給其他使用者。其他使用者可以按照以下步驟使用RAM使用者登入控制台或調用API。
登入控制台
RAM使用者訪問阿里雲控制台。
在RAM使用者登入頁面,輸入RAM使用者名稱,單擊下一步。
方式一:使用預設網域名稱登入。RAM使用者的登入格式為
<UserName>@<AccountAlias>.onaliyun.com,例如:username@company-alias.onaliyun.com。說明<UserName>為RAM使用者名稱稱,<AccountAlias>.onaliyun.com為預設網域名稱。關於預設網域名稱的更多資訊,請參見基本概念和查看和修改預設網域名稱。方式二:使用帳號別名登入。RAM使用者的登入格式為
<UserName>@<AccountAlias>,例如:username@company-alias。說明<UserName>為RAM使用者名稱稱,<AccountAlias>為帳號別名。關於帳號別名的更多資訊,請參見基本概念和查看和修改預設網域名稱。方式三:如果建立了域別名,也可以使用域別名登入。RAM使用者的登入格式為
<UserName>@<DomainAlias>,例如:username@example.com。
輸入RAM使用者的登入密碼,然後單擊登入。
(可選)如果您開啟了多因素認證(MFA),還需要進行MFA驗證。
更多資訊,請參見多因素認證(MFA)和為RAM使用者綁定MFA裝置。
使用RAM使用者的AccessKey調用API
在代碼中使用RAM使用者的AccessKeyId和AccessKeySecret即可。