本文档主要介绍阿里云的访问控制服务RAM的基本概念以及RAM在PolarDB-X 1.0中的应用场景。

背景信息

RAM是阿里云提供的用户身份管理与访问控制服务。使用RAM可以创建、管理不同账号(比如员工、系统或应用程序),并控制这些账号对云账户名下资源的操作权限。当企业或组织存在多用户协同操作资源时,RAM可以避免云账号密钥大范围传播,按需分配最小权限,从而降低企业信息安全管理风险,详情请参见什么是访问控制

使用RAM服务前需要先了解基本概念,如云账户、RAM用户、身份凭证和角色等,了解这些基本概念能够帮助您快速上手使用RAM,更多关于RAM的基本概念,请参见基本概念

RAM在PolarDB-X 1.0中的应用场景示例

假设某阿里云用户Alice拥有两个(PolarDB-X_a 和PolarDB-X_b)。Alice对这两个实例都拥有完全的权限。

  • 为了避免阿里云账号的AccessKey泄露导致安全风险,Alice使用RAM创建了两个子账号Bob和Carol。
  • Alice建立了两个授权策略,access_drds_a和access_drds_b,分别表示PolarDB-X_a和PolarDB-X_b的读写权限。
  • Alice在控制台上分别对Bob和Carol进行授权,使Bob对PolarDB-X_a拥有读写权限,Carol对PolarDB-X_b拥有读写权限。

Bob和Carol都拥有独立的AccessKey,若某一方出现AccessKey泄露情况也只会影响其中一个,同时Alice也可以及时在控制台取消泄露用户的权限。

权限控制