全部产品
Search
文档中心

阿里云物联网平台:物联网平台RAM授权说明

更新时间:Dec 15, 2023

如果您需要团队或部门成员的精细化控制权限,可为阿里云账号(主账号)创建RAM用户或RAM角色,并为其授予自定义权限策略,避免多用户共享阿里云账号(主账号)密码或访问密钥(AccessKey),降低安全风险。本文介绍物联网平台RAM服务的权限策略规则、RAM授权操作(Action)列表,以及如何通过RAM用户实现精细化授权。

背景信息

RAM和STS介绍和使用场景说明,请参见RAM和STS介绍。相关概念详细说明,请参见访问控制的基本概念

RAM服务说明

服务

说明

RAM云服务名称

物联网平台。

RAM代码

iot

是否支持在控制台进行访问控制

支持。

是否支持通过API进行访问控制

支持。

授权粒度

操作级别,表示API级别的授权。一个RAM用户或RAM角色可以对指定云服务的某类资源执行某几个指定的操作。

系统策略

  • AliyunIOTFullAccess:管理物联网平台(IoT)的权限。

  • AliyunIOTReadOnlyAccess:只读访问物联网平台(IoT)的权限。

  • AliyunIOTConsoleCommonAccess:物联网平台控制台通用权限。

权限策略内容说明

RAM中使用权限策略描述授权的具体内容,权限策略由效果(Effect)、操作(Action)、资源(Resource)、条件(Condition)和授权主体(Principal)等基本元素组成。权限策略的基本元素、语法结构和判定规则的详细说明,请参见权限策略语言

物联网平台授权策略内容中基本元素的配置说明如下。

元素名称

是否必选

说明

效果(Effect)

授权效果包括两种:允许(Allow)和拒绝(Deny)。

说明

当权限策略中既有Allow又有Deny时,遵循Deny优先原则。

操作(Action)

操作是指对具体资源的操作。

物联网平台RAM授权操作代码格式统一为iot:${API名称},其中${API名称}为物联网平台操作功能的API名称,也对应物联网平台控制台操作功能。物联网平台公开提供的所有云端API,请参见物联网平台云端API列表

在创建物联网平台授权策略时,多个Action以英文逗号(,)分隔,支持使用星号(*)通配符。例如iot:Create*Create*通配以Create开头的API名称,例如CreateProductCreateThingModelCreateProductTopic

资源(Resource)

资源是指被授权的具体对象。

目前物联网平台不支持资源(例如产品或设备)粒度的授权,只支持API维度的授权,授权时,Resource只能设置为*

条件(Condition)

条件是指授权生效的条件。

目前物联网平台的RAM用户授权策略支持访问IP限制、是否通过HTTPS访问、是否通过MFA(多因素认证)访问、访问时间限制的鉴权条件。

使用场景示例,请参见Condition定义

RAM授权操作(Action)列表

您创建自定义权限策略时,需要指定具体的授权操作。物联网平台基于API操作授权,对应API名称及操作功能的详细内容,请参见物联网平台公开提供的所有云端API列表。RAM授权操作(Action)格式为iot:${API名称},下表列出物联网平台公开API的Action示例,及未公开API对应操作功能的Action。

API名称或操作功能

RAM授权操作(Action)

资源 (Resource)

接口说明

CreateProduct

iot:CreateProduct

*

创建产品。

DeleteConsumerGroupSubscribeRelation

iot:DeleteConsumerGroupSubscribeRelation

*

从AMQP订阅中的多个消费组移除指定消费组。

配置AMQP服务端订阅

iot:sub

*

支持AMQP服务端订阅连接。

重置产品证书密钥

iot:ResetProductSecret

*

重置产品证书的ProductSecret

使用指导

  1. 创建账号管理员

    阿里云账号(主账号)对账号中的资源具有完全管理权限,且无法进行条件限制(例如:访问来源IP地址、访问时间等),多人共用时也无法在操作日志中区分出具体使用人,一旦泄露风险极大,强烈建议您不要使用阿里云账号(主账号)进行日常运维管理。

    您可以在RAM中创建一个RAM用户,授予AdministratorAccess权限,充当账号管理员,该管理员可以对账号下所有云资源进行管控操作。后续您可以通过该管理员创建多个RAM用户,进行分权管理。

  2. 创建自定义权限策略

    RAM提供了两种权限策略:系统权限策略和自定义权限策略。系统权限策略由阿里云统一提供,不支持修改。如果系统权限策略不能满足您的授权需求,您可以按需创建自定义权限策略,实现精细化权限管理。

  3. 创建RAM用户进行授权:

    • 创建单个RAM用户并授权

      您可以创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。

      当您的企业存在多用户协同访问资源的场景时,使用RAM可以按需为用户分配最小权限,避免多用户共享阿里云账号(主账号)密码或访问密钥,从而降低企业的安全风险。

    • 创建RAM用户组并授权

      RAM用户组是RAM中的一种实体身份类型,RAM用户组可以对职责相同的RAM用户进行分类并授权,从而更高效地管理RAM用户及其权限。

    • 创建RAM角色并授权,然后授予RAM用户角色扮演权限

      RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有永久身份凭证(登录密码或访问密钥),需要被一个可信实体扮演。扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就能以RAM角色身份访问被授权的资源。

使用示例

常见问题