全部產品
Search

搜尋本產品

    Resource Access Management:建立RAM角色並授權

    文件中心

    Resource Access Management:建立RAM角色並授權

    更新時間:Feb 05, 2024

    RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。扮演成功後,可信實體將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用該安全性權杖就能以RAM角色身份訪問被授權的資源。

    RAM角色類型

    根據不同的可信實體,RAM角色分為以下三類:

    • 可信實體為阿里雲帳號的RAM角色:允許RAM使用者扮演的角色。扮演角色的RAM使用者可以屬於自己的阿里雲帳號,也可以屬於其他阿里雲帳號。該類角色主要用於解決跨帳號訪問和臨時授權問題。

    • 可信實體為阿里雲服務的RAM角色:允許雲端服務扮演的角色。分為普通服務角色和服務關聯角色兩種。該類角色主要用於解決跨服務訪問問題。

    • 可信實體為身份供應商的RAM角色:允許可信身份供應商下的使用者所扮演的角色。該類角色主要用於實現與阿里雲的單點登入(SSO)。

    步驟一:建立RAM角色

    不同類型的RAM角色建立方法略有差異,如下將以建立可信實體為阿里雲帳號的RAM角色為例為您介紹。更多資訊,請參見建立可信實體為阿里雲帳號的RAM角色建立可信實體為阿里雲服務的RAM角色建立可信實體為身份供應商的RAM角色

    操作步驟

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 角色

    3. 角色頁面,單擊建立角色

    4. 建立角色頁面,選擇可信實體類型為阿里雲帳號,然後單擊下一步

    5. 設定角色資訊。

      1. 輸入角色名稱

      2. 輸入備忘

      3. 選擇信任的雲帳號。

        • 當前雲帳號:當您允許當前阿里雲帳號下的所有RAM使用者扮演該RAM角色時,您可以選擇當前雲帳號

        • 其他雲帳號:當您允許其他阿里雲帳號下的所有RAM使用者扮演該RAM角色時,您可以選擇其他雲帳號,然後輸入其他阿里雲帳號(主帳號)ID。該項主要針對跨阿里雲帳號的資源授權訪問情境,相關教程,請參見跨阿里雲帳號的資源授權

          您可以在安全設定頁面查看阿里雲帳號(主帳號)ID。

        重要

        如果您僅允許指定的RAM使用者扮演該RAM角色,而不是阿里雲帳號(主帳號)下的所有RAM使用者,您可以採取以下兩種方式:

    6. 單擊完成

    7. 單擊關閉

      步驟二(可選):建立自訂權限原則

      RAM提供了兩種權限原則:系統權限原則和自訂權限原則。系統權限原則由阿里雲統一提供,不支援修改。如果系統權限原則不能滿足您的需求,您可以按需建立自訂權限原則,實現精微調權限管理。

      建立自訂權限原則有多種方式,如下將以通過可視化編輯模式建立自訂權限原則為例為您介紹。更多其他方式,請參見建立自訂權限原則

      1. 使用Resource Access Management員登入RAM控制台

      2. 在左側導覽列,選擇許可權管理 > 權限原則

      3. 權限原則頁面,單擊建立權限原則

      4. 建立權限原則頁面,單擊可視化編輯頁簽。

      5. 配置權限原則,然後單擊繼續編輯基本資料

        1. 效果地區,選擇允許拒絕

        2. 服務地區,選擇雲端服務。

          說明

          支援可視化編輯模式的雲端服務以控制台介面顯示為準。

        3. 操作地區,選擇全部操作指定操作

          系統會根據您上一步選擇的雲端服務,自動篩選出可以配置的操作。如果您選擇了指定操作,您需要繼續選擇具體的操作。

        4. 資源地區,選擇全部資源指定資源

          系統會根據您上一步選擇的操作,自動篩選出可以配置的資源類型。如果您選擇了指定資源,您需要繼續單擊添加資源,配置具體的資源ARN。您可以使用匹配全部功能,快速選擇對應配置項的全部資源。

          說明

          為了權限原則的正常生效,對操作關聯的必要資源ARN標識了必要,強烈建議您配置該資源ARN。

        5. 條件地區,單擊添加條件,配置條件。

          條件包括阿里雲通用條件和服務級條件,系統會根據您前面配置的雲端服務和操作,自動篩選出可以配置的條件列表。您只需要選擇對應條件鍵配置具體內容。

        6. 單擊添加語句,重複上述步驟,配置多條權限原則語句。

      6. 輸入權限原則名稱備忘

      7. 檢查並最佳化權限原則內容。

        • 基礎權限原則最佳化

          系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:

          • 刪除不必要的條件。

          • 刪除不必要的數組。

        • 可選:進階權限原則最佳化

          您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:

          • 拆分不相容操作的資源或條件。

          • 收縮資源到更小範圍。

          • 去重或合并語句。

      8. 單擊確定

      步驟三:為RAM角色授權

      授權時,建議遵循最小化原則,僅授予必要的許可權。

      1. 使用Resource Access Management員登入RAM控制台

      2. 在左側導覽列,選擇身份管理 > 角色

      3. 角色頁面,單擊目標RAM角色操作列的新增授權

        您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色大量授權。

      4. 新增授權頁面,為RAM角色授權。

        1. 選擇授權範圍。

          • 整個雲帳號:許可權在當前阿里雲帳號內生效。

          • 指定資源群組:許可權在指定的資源群組內生效。

            說明

            指定資源群組授權生效的前提是該雲端服務已支援資源群組。更多資訊,請參見支援資源群組的雲端服務

        2. 指定授權主體。

          授權主體即需要授權的RAM角色,系統會自動填入當前的RAM角色,您也可以添加其他RAM角色。

        3. 選擇權限原則。

          說明

          每次最多綁定5條策略,如需綁定更多策略,請分次操作。

      5. 單擊確定

      6. 單擊完成

      步驟四:可信實體通過角色扮演的方式訪問阿里雲

      1. 可信實體通過控制台或調用API扮演角色並擷取角色的安全性權杖。

      2. 可信實體通過角色身份訪問被授權的雲資源。