Resource Access Management

阿里雲 Resource Access Management 服務是一個暫留管理雲上身份及存取權限的管理服務。您可以通過存取控制將阿里雲資源的存取及系統管理權限配置給您的企業成員或夥伴。

免費開通 聯絡我們

存取控制

阿里雲存取控制(Resource Access Management)服務是一個暫留管理雲上身份及存取權限的管理服務。您可以通過存取控制將阿里雲資源的存取及系統管理權限配置給您的企業成員或夥伴。

使用阿里雲存取控制服務,您可以暫留管理您雲上資源的存取權限,細粒度的將權限授權給需要存取的用戶,從而保障雲上資源的安全。


優點

暫留管理

  • 建立、管理、重新命名及移除子用戶,群組以及角色,並授予必要的權限

  • 統一的管理阿里雲資源的存取權限及用戶身份

  • 根據商務需求撤銷單個或一批資源或用戶的存取權限

高度靈活

  • 細粒度授權:允許對單個資源的單個動作授權。 例如,可以授權允許建立,動作及移除資源

  • 多維度授權:從存取者IP, 時間等多重維度對存取者權限進行節流

  • 組建管理機制:維修多個授權原則組建,以減小原則誤修改的風險

支援多種授權場景

  • 根據商務需求定義多種阿里雲資源存取控制原則

  • 授權只讀、完全存取或自訂權限給您的用戶、夥伴或企業員工帳號

  • 根據需求定義使用者角色或服務角色

美化安全性

  • 支援多因素認證(MFA)技術來保護您的帳號安全

可用工時

  • 根據您的需求可以通過管理主控台或API來管理設定存取控制服務

支援多種授權場景

  • 使用存取控制服務本身不需要支付任何費用,只需要支付子用戶在其他服務中購買資源所產生的消費

  • 可以為企業出一份總帳單,而不用因使用多個帳號產生零散的帳單

產品詳情

阿里雲存取控制(Resource Access Management)服務是一個暫留管理雲上身份及存取權限的管理服務。您可以通過存取控制將阿里雲資源的存取及系統管理權限配置給您的企業成員或夥伴。

使用阿里雲存取控制服務,您可以暫留管理您雲上資源的存取權限,細粒度的將權限授權給需要存取的用戶,從而保障雲上資源的安全。


功能

身份管理

  • 用戶身份管理:使用主帳號建立並系統管理使用者的身份和權限

  • 多因素認證:支援符合TOTP標準(RFC 6238)的多因素認證合約以保護您的密碼安全

  • 硬地的密碼原則管理:支援自訂密碼強度原則並設定密碼重試次數,密碼有效期間以及其他密碼原則

  • Users 群組:通過Users 群組您可以將需要相同權限的用戶上線同一個Users 群組

  • 存取金鑰(Access Key):可以為子使用者佈建存取金鑰(Access Key)來存取阿里雲API

授權管理

  • 允許或禁止:可以設定允許或禁止某一用戶對某個資源進行某項動作,並可以連結其他條件

  • 自訂授權:使用自訂授權可以更有效系統管理使用者權限

  • 分組授權:使用Users 群組分組授權根據用戶場景進行授權,可以有效減少授權成本

  • 用戶授權:可以為您帳號下的用戶或Users 群組授權

授權原則管理

  • 授權原則管理:根據具體的需求建立、修改或移除自訂授權原則,例如設定一個可以從特定IP段對某個ECS實例進行指定動作的權限

  • 資源存取:RAM用戶可以通過主控台,API 或阿里雲命令列工具(aliyuncli)來動作資源

阿里雲Security Token Service

  • 存取安全:通過使用存取控制(RAM)中的權杖發行服務,您可以方便的將雲上資源的部份存取權限發行給移動用戶端,使您的移動客戶可以直接存取雲上資源

  • 自訂有效期間:支援自訂權杖有效期間以提高安全性

暫留控制

  • 用戶資源存取方式:可以節流用戶存取阿里雲資源的方式,例如必須使用安全鏈路(比如SSL)或者必須在某個時間段從某個 IP 位址存取

  • 角色及外部帳號聯盟登入管理:通過設定關聯存取控制角色和外部帳號身份系統(例如您本地企業域帳號或套用帳號),可以使外部身份直接存取管理阿里雲主控台或API

  • 雲資源:暫留管理 RAM 用戶建立的資料實例,所以在用戶離開您的組織後您依然對這些資源擁有完全控制

使用場景

以下是存取控制服務的幾個常見場景:

企業使用者帳號管理與分權

企業A的某個項目上雲,購買了多種雲資源。項目裡有多個員工需要動作這些雲資源,比如有的負責購買,有的負責運維,還有的負責線上套用。由於每個員工的工作職責不一樣,需要的權限也不一樣。出於安全或信任的考慮,A不希望將雲帳號金鑰直接透露給員工,而希望能給員工建立相應的用戶帳號。用戶帳號只能在授權的前提下動作資源,不需要對用戶帳號進行硬地的計量計費,所有開銷都算在A的頭上。當然,A隨時可以撤銷用戶帳號身上的權限,也可以隨時移除其建立的用戶帳號。

場景推薦設定

存取控制(RAM)用戶及權限管理設定

解決方案架構

  • 給主帳號繫結MFA裝置。給主帳號設定多因素認證,避免因主帳號密碼泄露導致風險

  • 開通存取控制服務

  • 建立用戶帳號。為不同員工(或套用系統)建立RAM用戶帳號,並按需設定登入密碼或建立AccessKey

  • 建立群組。如果有多個員工的職責相同,建議建立群組,並將用戶新增到群組

  • 授權。給群組或用戶新增一條或多條系統授權原則。如果需要更細粒度的授權,可以建立自訂授權原則,然後給群組或用戶授權

針對移動App的臨時授權管理

企業A開發了一款移動App,併購買了OSS服務。移動App需要上傳資料到OSS(或從OSS下載資料),A不希望所有App都通過AppServer來進行資料中轉,而希望讓App能直連OSS上傳/下載資料。由於移動App執行在用戶自己的終端裝置上,這些裝置並不受A的控制。出於安全考慮,A不能將存取金鑰儲存到移動App中。A希望將安全風險控制到最小,比如,每個移動App直連OSS時都必須使用最小權限的存取權杖,而且存取時效也要很短(比如30分鐘)。

場景推薦設定

存取控制(RAM)服務安全性權杖(STS Token)

解決方案架構

  • 建立角色,並為角色授予相應的授權原則

  • 為App Server建立RAM用戶,並授予此用戶扮演角色(AssumeRole)的權限

  • App Server發行STS Token

不同企業之間的資源動作與授權管理

帳號A和帳號B分別代表不同的企業。A購買了多種雲資源(如ECS實例/RDS實例/SLB實例/OSS貯體/...)來開展商務。A希望能專註於商務系統,而將雲資源運維監控管理等任務委派(或授權)給企業B。此外,B還可以進一步將A的資源存取權限配置給B的某一個或多個員工。B可以精細控制其員工對A所控制的資源的動作權限。如果A和B的這種代運維合約終止,A隨時可以撤銷對B的授權。

場景推薦設定

存取控制角色跨帳號授權

解決方案架構

  • 建立一個角色,並賦予跨帳號存取的權限

  • 建立一個子用戶,並授予子用戶扮演角色的權限

使用入門

阿里雲存取控制(Resource Access Management)服務是一個身份及存取管理服務,可以讓您暫留的系統管理使用者(包括僱員、系統及套用)以及安全的管理這些身份的存取權限。

以下內容介紹如何使用阿里雲管理主控台、API來管理和設定存取控制服務。

通過管理主控台使用存取控制服務

阿里雲管理主控台提供一個簡單的基於Web的使用者介面,您可以通過 Web 主控台管理和設定存取控制服務的規則、授權原則、角色以及使用者權限。

通過這個主控台,您也可以建立、修改、管理及移除用戶;查看《快速入門》快速了解存取控制服務管理主控台的使用方法。

存取控制 API 手冊

您可以通過存取控制服務的API介面來進行二次開發。閱讀 《API 手冊》

存取阿里雲文件

要了解存取控制服務的完整功能,請參考《使用手冊》

資源

使用存取控制服務,您可以建立並系統管理使用者身份並為這些使用者指派不同的權限。

以下是相關資源的連結:

開發人員資源

通過以下連結,您可以查看進階功能、文件等。這些連結可以說明開發人員對存取控制服務進行二次開發。

常見問題

1. 如何開始使用存取控制服務?

在您註冊了阿里雲帳號之後,您可以使用阿里雲管理主控台或存取控制 API 來建立用戶及Users 群組並為其配置權限。

2. 怎樣使用子用戶登入主控台?

您可以存取https://signin-intl.aliyun.com子用戶登入頁登入,也可以使用主控台概覽頁的子用戶登入連結登入。

3. 有哪些雲產品支援存取控制服務?

服務主控台API相關文件
Elastic Compute ServiceECS權限定義
雲資料庫 RDS 版RDS 權限定義
負載平衡負載平衡 權限定義
專有網路 VPCVPC 權限定義
彈性公網 IPElastic IP Address 權限定義
Object Storage Service物件隱藏 權限定義
Table Store OTSTable Store 權限定義
Message ServiceMessage Service 權限定義
CDNCDN 權限定義
ApsaraDB for Redis 
ApsaraDB for Memcache 
Cloud Monitor 
伺服器安全(Server Guard) 
DDoS防護 
Mobile Security 
工單系統 

4. 什麼是角色?

RAM角色是一種虛擬用戶(或影子帳號),它是RAM用戶類型的一種。這種虛擬用戶有確定的身份,也可以被賦予一組權限(Policy), 但它沒有確定的身份認證金鑰,而只能被 RAM 用戶扮演。

5. 哪些權限可以授予RAM用戶?

一個新用戶預設沒有任何權限。一個 RAM 用戶代表一個動作者,必須被顯示的授權進行某項動作。只有在授權之後,RAM 用戶才能通過主控台或 API 進行相應動作。

6. 什麼是授權原則?

一個授權原則是通過授權原則語言標題的一組權限。授權原則可以精確的定義資源集合和動作集合,以及其他授權條件節流。

7. 如果查看阿里雲系統授權原則?

登入存取控制管理主控台並進入授權原則管理頁,即可查看所有系統授權原則。

8. 什麼是RoleARN?

RoleARN是一個權限資源描述項用來唯一的表示一個角色。RoleARN遵循阿里巴巴 ARN命名規則。

例如,某個雲帳號下角色"devops"的RoleARN是"acs:ram::1234567890123456:role/devops"

9. 如何移除一個具有多組建的授權原則?

首先您需要確保除了預設組建以外的其他組建都已移除。只有當授權原則只有預設組建存在時,授權原則才可以被移除。

10. 如何配置常用權限?

阿里雲提供一組定義了常用權限的系統授權原則。這些授權原則由阿里雲定義,例如ECS只讀權限,ECS 完全系統管理權限。您可以使用這些系統授權原則,但無法修改他們。

11. 如何建立一個自訂授權原則?

  • 1. 登入存取控管理主控台,選擇授權原則管理,然後進入自訂授權原則索引標籤;

  • 2. 單擊“新建授權原則”;

  • 3. 選擇一個授權原則範本;

  • 4. 編輯名稱,備忘以及原則內容;

  • 5. 在編輯完成後,點選新增原則以完成授權原則的建立。

12. 如何為一個群組授予權限?

  • 1. 登入存取控制主控台並進入群組管理;

  • 2. 選擇一個組,點選“授權”進入授權頁;

  • 3. 選擇新增您需要的權限,點選確定即可授權。

13. 如果為一組使用者指派相同的權限?

您可以將權限授予Users 群組,組內的用戶都將繼承群組的權限。

14. RAM 用戶擁有哪幾種安全金鑰?

RAM 用戶可以使用AccessKey存取阿里雲 API,或通過使用者名稱密碼登入阿里雲主控台存取資源。您也可以啟用多因素認證(MFA)來上線額外的口令驗證,這將使您的賬戶安全升階到一個新的等級。