阿里云STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。

应用场景

产品优势

  • 使用STS Token,减少长期访问密钥(Accesskey)泄露的风险。
  • STS Token具有时效性,可以自定义有效期,到期后将自动失效,无需定期轮换。
  • 可以为STS Token绑定自定义权限策略,提供更加灵活和精细的云资源授权。

基本概念

概念 说明
RAM用户

RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。

  • 一个阿里云账号下可以创建多个RAM用户,对应企业内的员工、系统或应用程序。
  • RAM用户不拥有资源,不能独立计量计费,由所属阿里云账号统一控制和付费。
  • RAM用户归属于阿里云账号,只能在所属阿里云账号的空间下可见,而不是独立的阿里云账号。
  • RAM用户必须在获得阿里云账号的授权后才能登录控制台或使用API操作阿里云账号下的资源。

更多信息,请参见RAM用户概览创建RAM用户

RAM角色

RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有确定的登录密码或访问密钥,它需要被一个可信的实体用户(RAM用户、阿里云服务或身份提供商)扮演。扮演成功后实体用户将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用安全令牌就能以RAM角色身份访问被授权的资源。

根据不同的可信实体,RAM角色分为以下三类:

  • 阿里云账号:允许RAM用户所扮演的角色。扮演角色的RAM用户可以属于自己的阿里云账号,也可以属于其他阿里云账号。此类角色主要用来解决跨账号访问和临时授权问题。
  • 阿里云服务:允许云服务所扮演的角色。此类角色主要用于授权云服务代理您进行资源操作。
  • 身份提供商:允许可信身份提供商下的用户所扮演的角色。此类角色主要用于实现与阿里云的单点登录(SSO)。

更多信息,请参见RAM角色概览创建可信实体为阿里云账号的RAM角色创建可信实体为阿里云服务的RAM角色创建可信实体为身份提供商的RAM角色

角色ARN 角色ARN是角色的全局资源描述符,用来指定具体角色。ARN遵循阿里云ARN的命名规范。例如,某个阿里云账号下的devops角色的ARN为:acs:ram::123456789012****:role/samplerole。创建角色后,单击角色名后,可在基本信息页查看其ARN。
可信实体 RAM角色的可信实体是指可以扮演RAM角色的实体用户身份。创建RAM角色时必须指定可信实体,RAM角色只能被可信实体扮演。可信实体可以是阿里云账号、受信的阿里云服务或身份提供商。
权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。一个RAM角色可以绑定一组权限策略,没有绑定权限策略的RAM角色可以存在,但不能访问资源。
扮演角色 扮演角色是实体用户获取角色身份的安全令牌的方法。一个实体用户调用STS API AssumeRole可以获得角色的安全令牌,使用安全令牌可以访问云服务API。

支持STS的云服务

关于支持STS的云服务详情,请参见支持STS的云服务