本文介紹阿里雲存取控制(RAM)的核心概念、主要功能及安全指南,協助您理解該如何使用RAM來實現雲資源的安全訪問。
什麼是存取控制
存取控制(Resource Access Management,RAM)是阿里雲提供的集中系統管理使用者身份與資源存取權限的服務。通過RAM,可建立並管理多種身份,並為其授予精微調權限,從而實現對雲資源的安全訪問。
計費說明
RAM為免費產品,預設為開通狀態,暫不支援關閉。
為什麼需要存取控制
直接使用或共用阿里雲主帳號(即註冊帳號)進行日常操作,會帶來以下管理與安全挑戰:
許可權過高與安全風險:主帳號擁有賬戶下所有資源的最高許可權。共用主帳號易導致許可權濫用,任何使用者都將擁有最高控制權。一旦憑證泄露,賬戶下的所有雲資源將面臨極高的安全風險。
責任無法追溯:所有操作記錄均歸屬於主帳號,發生安全事件時,無法定位到具體的執行人,導致安全審計與責任追溯失效。
職責分工困難:無法為財務人員設定“僅查看賬單”的許可權,或為開發人員設定“僅操作特定環境”的許可權,這違反了安全管理的最小許可權原則。
RAM通過建立獨立的身份並為其精確授權,可有效解決以上問題,是保障雲上資源安全的基礎。
基本概念
什麼是身份
身份是在雲環境中訪問資源和執行操作的實體,也是許可權的承載主體。雲環境中主要有兩種身份類型:人員身份和程式身份。
人員身份:代表您的企業員工或組織成員,如安全性系統管理員、營運或開發人員等使用者。人員身份通過控制台、CLI等互動式方式訪問和操作雲資源。
程式身份:代表應用程式或服務,通常通過API以非互動方式訪問雲資源和資料。程式身份適用於自動化指令碼、應用程式開發、服務整合等情境。
什麼是認證
認證是驗證使用者身份的過程。使用者需要提供憑證(如使用者名稱和密碼)以證明其身份。
憑證的形式多種多樣,例如您熟知的使用者名稱和密碼、一次性驗證碼,或是用於程式身份的存取金鑰。
為了提升安全性,多因素認證(Multi-Factor Authentication,簡稱MFA)會要求您至少提供兩種不同類型的憑證來驗證身份,例如結合使用密碼和一次性驗證碼。單點登入(Single Sign-On,簡稱SSO)允許您在一次成功認證後,無需重複登入即可訪問所有相互信任的應用或資源。
什麼是授權
授權是確認已通過認證的身份是否擁有訪問特定資源許可權的過程。
認證和授權的核心區別如下:
認證解決的是“你是誰?”的問題,用以證明身份。
授權解決的是“你能做什嗎?”的問題,用以授予或拒絕許可權。
認證是授權的前提。身份通過認證後,需要經過授權來確定其可以訪問的資源和可執行檔操作。
為不同類型的身份授予不同許可權,可以實現對雲資源的精細化管控,確保每個身份只能訪問其職責範圍內的資源並執行特定操作。
RAM的核心功能
身份管理:建立並管理多種身份,例如RAM使用者、RAM使用者組、RAM角色等。
身份認證:提供密碼、存取金鑰、MFA、SSO等多種認證方式。
授權管理:基於權限原則對身份進行精細化的許可權控制。
身份聯合:支援與企業身份系統整合,實現身份的統一管理和單點登入。
許可權審計:識別RAM身份所擁有的許可權,記錄許可權的最近訪問時間。
RAM中的身份類型
RAM提供RAM使用者、RAM使用者組和RAM角色三種身份類型。其中,RAM使用者組是用于歸類和管理RAM使用者的集合。RAM使用者和RAM角色既可用於人員身份,也可用於程式身份。
主帳號與RAM使用者對比
當您完成步驟1:註冊阿里雲帳號即可獲得主帳號。阿里雲主帳號類似於 Linux 系統中的root使用者,許可權極大,但不適合日常使用。主帳號可以在RAM中建立RAM使用者,用於日常管理。兩者的核心區別如下:
對比項 | 主帳號 | RAM使用者 |
身份角色 | 資源的擁有者,擁有全部資產和最高許可權。 | 資源和服務的使用者,許可權由主帳號(或有管理員權限的RAM使用者)授予,通常與某個確定的人或應用程式對應。 |
是否擁有雲資源 | 是 | 否,資源歸屬主帳號 |
預設許可權 | 全部許可權,不可限制。 | 預設無任何許可權,需主帳號(或有管理員權限的RAM使用者)授權。 |
使用建議 | 僅用於授權、付費、帳號管理等關鍵管理操作。 | 日常開發、營運,部署等。 |
阿里雲主帳號的安全最佳實務
建立一個擁有管理員權限的RAM使用者,專門用於日常管理和技術操作。
阿里雲帳號僅在必要時使用,並妥善保管帳號密碼及MFA等相關憑證。
所有日常操作都通過Resource Access Management員使用者完成,避免阿里雲帳號暴露在日常環境中。
身份類型對比
不同的RAM身份有不同的適用情境,以下是RAM中身份類型的詳細定義及主要用途:
身份類型 | 定義 | 主要用途 |
RAM使用者 | 代表具體個人或應用的身份。擁有控制台登入或程式訪問憑證,如登入密碼、存取金鑰等。能夠登入控制台或進行程式訪問。 | 對應企業中的具體員工、系統或應用程式,用於需要長期訪問雲資源的情境。 |
RAM使用者組 | 用于歸類和管理RAM使用者的集合。為使用者組授權後,組內所有使用者將繼承該許可權。 | 為職能相同的多個RAM使用者(如Team Dev、測試團隊)批量授予和撤銷許可權,簡化許可權管理。 |
RAM角色 | 一種虛擬身份,可被授予許可權但沒有登入密碼或存取金鑰。RAM角色需要被雲帳號、雲端服務、身份供應商等實體扮演,才能擷取用於訪問的臨時安全憑證。 | 用於實現跨帳號資源訪問、授權雲端服務訪問其他資源以及與身份供應商(Identity Provider,IdP)整合實現單點登入(SSO)等情境。 |
RAM中的認證方式
認證方式對比
RAM根據不同使用情境支援多種認證方式:
控制台登入情境
認證方式 | 定義 | 適用情境 |
登入密碼 | 用於控制台登入的身分識別驗證憑證 | RAM使用者登入控制台進行互動式操作。 |
多因素認證(MFA) | 在使用登入密碼的身份認證基礎上增加一層安全驗證。 | 搭配登入密碼,提升控制台登入安全性。預設所有RAM使用者登入均需要使用多因素認證。 |
通行密鑰 | 一種基於FIDO2標準的無密碼認證方案,允許使用者通過裝置的生物識別技術(如指紋或面容ID)或數字 PIN 碼來完成安全、便捷的身份認證。 | 進一步提升控制台登入安全性,防止密碼泄露和網路釣魚攻擊。適合對安全要求高的使用者,或需要無密碼登入的情境。 |
單點登入(SSO) | 使用者通過企業的身份供應商(IdP)認證,一次登入即可訪問多個受信雲端服務。 | 企業使用者藉助現有的身份認證系統(如Microsoft Entra ID、Okta等)訪問阿里雲。 |
程式訪問情境
認證方式 | 定義 | 適用情境 |
存取金鑰(AccessKey,AK) | 由AccessKey ID和AccessKey Secret組成的金鑰組,為RAM使用者所擁有。長期有效。 | 應用程式、CLI或服務等通過API調用雲端服務。相對安全性較低。 |
臨時安全性權杖(STS Token) | RAM角色扮演成功後擷取的臨時憑證,包括臨時AccessKey和SecurityToken,具備預設有效期間且到期失效。 | 同樣可用於應用程式、CLI或服務等通過API調用雲端服務。另外,還可用於跨帳號資源訪問、聯合身份認證(SSO)或臨時授予雲端服務許可權等。相對安全性較高。 |
長期訪問憑證與臨時訪問憑證
長期訪問憑證:建立後長期有效憑證,除非被手動禁用、刪除或修改。例如:登入密碼和存取金鑰(AccessKey)。
臨時訪問憑證。具有預設有效期間限(例如15分鐘到幾小時),到期後自動失效的憑證。例如:臨時安全性權杖 (STS token)。
與長期訪問憑證相比,臨時訪問憑證的安全性更高。長期訪問憑證泄露後可能被利用,造成持續的安全威脅。而臨時訪問憑證具有預設的有效期間限,即使泄露,其影響也僅限於憑證的有效期間和授與權限範圍內,從而降低了安全風險。因此,建議您優先使用臨時訪問憑證。更多詳細資料,請參考:使用訪問憑據訪問阿里雲OpenAPI最佳實務。
臨時安全性權杖(STS Token)是由阿里雲STS服務進行身份(RAM角色)認證之後頒發。如您需要瞭解什麼是STS服務,請參見:什麼是STS。如需瞭解如何獲得STS Token,請參見:擷取扮演角色的臨時身份憑證。
RAM中的權限原則
身份通過認證後,RAM會依據附加的權限原則,判斷該身份在請求訪問資源或執行操作時是否具備相應許可權(例如,是否有許可權管理阿里雲ECS執行個體)。RAM遵循預設拒絕原則:任何未經明確授權的訪問請求都將被拒絕。
策略類型
許可權通過權限原則(描述一組許可權的規則集合)進行管理。RAM支援以下兩類權限原則:
系統策略:由阿里雲建立和管理,覆蓋常見授權情境的通用權限原則。可以直接附加系統策略給身份使用,但無法修改策略內容。
自訂策略:可以自行建立和管理的權限原則。通過編寫JSON格式的策略文檔,可以精確地定義允許或拒絕的操作(Action)、資源(Resource)和條件(Condition),實現精微調權限控制。
瞭解更多:權限原則概覽。
授權範圍
授權範圍可以限定在整個阿里雲帳號,也可以通過資源群組限定在特定的專案或環境。
瞭解更多:權限原則模型。
條件控制
RAM使用基於屬性的存取控制(Attribute-Based Access Control,ABAC)許可權模型,允許在自訂權限原則中通過設定條件屬性,來實現條件存取控制。例如,限定訪問請求的來源IP位址區段,或要求必須在登入時完成MFA才能執行特定操作。
條件可包括身份屬性、資源屬性、請求環境屬性等系統預置屬性,也支援標籤(Tag)等自訂屬性。
條件控制需在自訂策略中設定。
瞭解更多:權限原則基本元素。
企業身份聯合
RAM支援基於SAML 2.0和OIDC(OpenID Connect)標準協議的單點登入(SSO)能力,也稱為身份同盟登入。
為什麼需要身份聯合
在多雲和企業級IT環境下,員工常常需要訪問多種內部系統和雲端服務,頻繁切換帳號和記憶不同口令,既影響操作效率,也增加安全風險。身份聯合可將企業的身份認證系統(例如Microsoft Entra、Okta、ADFS等)與阿里雲整合,實現員工身份的統一管理。相比直接使用使用者名稱和密碼登入,身份同盟登入的優勢如下:
簡化登入:員工只需登入一次身份供應商(IdP)門戶,即可訪問阿里雲及其他與身份供應商建立信任關係的應用,無需維護多套使用者名稱和密碼。
集中安全性原則:企業安全性原則(如MFA、密碼原則、IP地址限制等)在IdP層面統一配置和執行。
集中管理與審計:通過企業原有的身份管理平台集中配置和撤銷使用者權限,實現員工入離職與雲上許可權同步,降低管理成本與合規風險。
支援的單點登入方式
阿里雲RAM支援以下兩種SSO模式,滿足不同業務情境需求:
使用者SSO
企業將身份供應商(IdP)系統中的使用者映射為阿里雲的RAM使用者,並使用對應的RAM使用者身份登入控制台。角色SSO
企業使用者直接扮演阿里雲的RAM角色,擷取臨時安全性權杖(STS Token)訪問資源。此方式支援跨阿里雲帳號授權、多IdP、程式訪問等情境。角色SSO更符合最小許可權原則和安全最佳實務。
瞭解更多:SSO概覽。
RAM的安全指南
建議遵循以下最佳實務,可以構建一個安全、高效且易於維護的身份與許可權體系。
身份管理與許可權管理
請參見身份與許可權的最佳實務。
RAM安全審計
使用Action Trail查詢操作記錄:Action Trail(ActionTrail)記錄通過RAM身份執行的所有操作,用於安全審計、合規審查和問題追溯。詳情請參見使用Action Trail查詢事件。
身份許可權治理:持續檢測主帳號及其下的RAM使用者是否存在身份許可權的安全風險,例如長期未使用的AK、不合規的密碼原則等。
瞭解更多:身份與許可權的最佳實務。
下一步:快速入門
您可以從以下常見情境開始使用RAM: