当您的企业有多用户协同操作资源的需求时,访问控制RAM可以让您避免与其他用户共享阿里云主账号密钥,并且按需为用户分配最小权限,从而降低您的企业信息安全风险。

应用场景

借助RAM用户实现分权的典型场景如下。

企业A的某个项目(Project-X)上云,购买了多种阿里云产品,例如:ECS实例、RDS实例、SLB实例、OSS存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,需要的权限也不一样。企业A希望能够达到以下要求:

  • 出于安全或信任的考虑,A不希望将云账号密钥直接透露给员工,而希望能给员工创建独立账号。
  • 用户账号只能在授权的前提下操作资源。A随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。
  • 不需要对用户账号进行独立的计量计费,所有开销都由A来承担。

针对以上需求,可以借助RAM的授权管理功能实现用户分权及资源统一管理。

权限策略

可观测链路 OpenTelemetry 版支持的系统权限策略如下所示。

权限策略类型说明
AliyunTracingAnalysisFullAccess系统可观测链路 OpenTelemetry 版的完整权限
AliyunTracingAnalysisReadOnlyAccess系统可观测链路 OpenTelemetry 版的只读权限

更多信息,请参见借助RAM用户实现权限分割