Resource Access Management

集中管理雲端身分與存取權限的管理服務

阿里雲 Resource Access Management 是集中管理雲端身分與存取權限的管理服務。您可以透過 Resource Access Management,將阿里雲資源的存取及管理權限分配予企業成員或合作夥伴。

優點

增強安全性
支援多重因素認證 (MFA) 技術,保障帳號安全
可用性
可根據個人需求,透過管理主控台或 API 來管理及配置 Resource Access Management 服務
集中管理
建立、管理、重新命名及刪除子用戶、群組與角色,並授予必要權限
統一管理阿里雲資源存取權限及用戶身分
根據業務需求,撤銷單個或整批資源或用戶的存取權限
支援多種授權場景
使用 Resource Access Management 服務本身費用全免,
只須支付子用戶在其他服務中購買資源所衍生的消費開支
可為企業開立一份總帳單,不會因使用多個帳號而產生零散帳單

產品詳情

  • 身分管理

    用戶身分管理

    使用主帳號建立並管理用戶身分與權限


    多重因素認證

    支援符合 TOTP 標準 (RFC 6238) 的多重因素認證協定,為您保障密碼安全


    獨立密碼策略管理

    支援自訂密碼強度策略,並設定密碼重試次數、密碼有效期及其他密碼策略


    用戶群組

    您可透過用戶群組,將需要相同權限的用戶加入同一群組中


    Access Key

    可為子用戶設定 Access Key,存取阿里雲 API

  • SSO (身分聯合)

    用戶 SSO

    阿里雲透過 IdP 頒發的 SAML 斷言,確認企業用戶與阿里雲 RAM 用戶的對應關係。企業用戶登入後,可透過該 RAM 用戶存取阿里雲


    角色 SSO

    阿里雲透過 IdP 頒發的 SAML 斷言,確認企業用戶在阿里雲上可使用的 RAM 角色。企業用戶登入後,可使用 SAML 斷言中指定的 RAM 角色,存取阿里雲

  • 授權管理

    允許或禁止

    可設定允許或禁止個別用戶對某個資源進行某項操作,並附加其他條件


    自訂授權

    採用自訂授權,更有效管理用戶權限


    分組授權

    採用用戶群組分組授權,根據用戶場景進行授權,有效減省授權成本


    用戶授權

    可為您帳號下的用戶或用戶群組授權

  • 安全令牌服務

    存取安全

    您可使用 Resource Access Management (RAM) 的令牌頒發服務,便捷地將雲端資源的部分存取權限分發至流動客戶端,讓流動客戶直接存取雲端資源


    自訂有效期

    支援自訂令牌有效期,提高安全性

  • 高度靈活

    精細授權

    允許對單一資源的單項操作授權。 例如:可授權允許建立、操作及刪除資源


    多維度授權

    從存取者 IP、時間等多重維度,限制存取者權限


    版本管理機制

    維護多個授權策略版本,減低錯誤修改策略的風險

  • 免費使用

    免費使用

    RAM 本身費用全免,只有在您使用 RAM 用戶/角色存取其他產品時,才會收取該產品的相應費用


    統一帳單

    您將會收到所有 RAM 用戶/角色操作阿里雲資源所衍生的統一費用帳單

領軍客戶實戰場景

  • 企業用戶帳號管理與分權
  • 針對流動 App 的臨時授權管理
  • 不同企業之間的資源操作與授權管理
企業用戶帳號管理與分權

企業用戶帳號管理與分權

企業 A 的若干項目移入雲端,因而購買了多項雲端資源。項目裡有多位員工須操作上述雲端資源,例如:部分員工負責採購,部分負責營運維修,部分負責網上應用程式。由於各位員工的職責不一,所需權限也不盡相同。出於安全或信任考慮,企業 A 不希望將雲端帳號密鑰直接披露給員工,而是希望為各位員工建立相應用戶帳號。用戶帳號只能在授權前提下操作資源,毋須獨立計量計費,而所有開支都會納入企業 A。當然,企業 A 亦可隨時撤銷用戶帳號權限,又或隨時刪除其建立的用戶帳號。

場景推薦配置

  • Resource Access Management (RAM) 用戶及權限管理配置

可以解決

  • - 為主帳號綁定 MFA 裝置:為主帳號設定多重因素認證,避免因主帳號密碼外洩而衍生風險

  • - 開通 Resource Access Management 服務

  • - 建立用戶帳號:為不同員工 (或應用程式系統) 建立 RAM 用戶帳號,並按需要設定登入密碼,或建立 AccessKey

  • - 建立群組:如果多位員​​工的職責相同,建議建立群組,並將用戶加入群組中

  • - 授權:為群組或用戶添加一條或多條系統授權策略。如需更精細授權,可建立自訂授權策略,然後為群組或用戶授權

針對流動 App 的臨時授權管理

針對流動 App 的臨時授權管理

企業 A 開發了一款流動 App,並購買了 OSS 服務。流動 App 須上載數據到 OSS (或從 OSS 下載數據);企業 A 不希望所有 App 都通過 AppServer 來進行數據中轉,而是想讓 App 直接連結 OSS 上載/下載數據。流動 App 在用戶個人終端裝置上運行,而這些裝置並不受企業 A 管控。出於安全考慮,企業 A 不能將存取密鑰儲存到流動 App 中。企業 A 希望將安全風險減至最低,例如:每個流動 App 直接連結 OSS 時,都必須使用權限最低的存取令牌,而存取時效亦要縮短 (如 30 分鐘)。

場景推薦配置

  • Resource Access Management (RAM) 服務安全令牌 (STS Token)

可以解決

  • - 建立角色,並為角色授予相應授權策略

  • - 為 AppServer 建立 RAM 用戶,並授予此用戶扮演角色 (AssumeRole) 的權限

  • - AppServer 頒發 STS Token

不同企業之間的資源操作與授權管理

不同企業之間的資源操作與授權管理

帳號 A 和帳號 B 分別代表不同企業。A 購買了多種雲端資源 (如 ECS 實例/RDS 實例/SLB 實例/OSS 儲存桶/…) 來開展業務。A 希望能專注於業務系統,而將雲端資源營運維修監控管理等任務委託 (或授權) 予企業 B。此外,B 還可進一步將 A 的資源存取權限分配予 B 的一位或多位員工,並精細管控其員工對 A 所控制之資源的操作權限。如果 A 與 B 終止這種代營運維修合約,A 可隨時撤銷授予 B 的授權。

場景推薦配置

  • Resource Access Management 角色跨帳號授權

可以解決

  • - 建立角色,並賦予跨帳號存取權限

  • - 建立子用戶,並授予子用戶扮演角色的權限

常見問題

1. 如何開始使用 Resource Access Management 服務?

註冊阿里雲帳號後,您可以使用阿里雲管理主控台或 Resource Access Management API 來建立用戶及用戶群組,並為其分配權限。

2. 如何使用子用戶登入主控台?

您可以前往https://signin-intl.aliyun.com子用戶登入頁面登入,亦可使用主控台概覽頁面的子用戶登入連結登入。

3. 有哪些雲端產品支援 Resource Access Management 服務?

請參考支援 RAM 雲端服務檔案。

4. 角色是甚麼?

RAM 角色是虛擬用戶 (或影子帳號),屬 RAM 用戶類型的一種,具有確定身分,亦可被賦予一組權限 (Policy),惟並無確切身分認證密鑰,只能由 RAM 用戶扮演。

5. 哪些權限可授予 RAM 用戶?

根據預設,新用戶並無任何權限。RAM 用戶代表單一操作者,必須按所顯示的授權進行若干操作。只有在獲授權之後,RAM 用戶才能透過主控台或 API 進行相應操作。

6. 授權策略是甚麽?

授權策略是以授權策略語言描述的一組權限,可精確定義資源集、操作集,以及其他授權條件限制。

7. 如何查看阿里雲系統授權策略?

登入 Resource Access Management 管理主控台,並進入授權策略管理頁面,即可查看所有系統授權策略。

8. RoleARN 是甚麼?

RoleARN 是權限資源描述符,用以不重複表示單一角色,並遵循 Alibaba ARN 命名規則。

例如:個別雲端帳號下角色「devops」的 RoleARN 是 "acs:ram::1234567890123456:role/devops"

9. 如何刪除具有多個版本的授權策略?

首先,您須確保除預設版本外,所有其他版本都已刪除。只有僅存在預設版本的授權策略才可被刪除。

10. 如何分配常用權限?

阿里雲提供一組定義常用權限的系統授權策略,其由阿里雲定義,例如 ECS 唯讀權限、ECS 完全管理權限等。您可以使用這些系統授權策略,但無法予以修改。

11. 如何建立自訂授權策略?

1. 登入存取管理主控台,選擇授權策略管理,然後進入自訂授權策略選項卡;
2. 按一下「新增授權策略」;
3. 選擇授權策略範本;
4. 編輯名稱、備註及策略內容;
5. 完成編輯後,按一下「新增策略」,即可完成建立授權策略的程序。

12. 如何為群組授予權限?

1. 登入 Resource Access Management 主控台,並進入群組管理;
2. 選擇一個群組,按一下「授權」進入授權頁面;
3. 選擇加入所需權限,按一下「確定」即可授權。

13. 如何為一組用戶分配相同權限?

您可將權限授予用戶群組,組內的用戶都將繼承群組權限。

14. RAM 用戶擁有哪幾種安全密鑰?

RAM 用戶可使用 AccessKey 存取阿里雲 API,或透過用戶名稱和密碼登入阿里雲主控台,存取資源。您亦可啟用多重因素認證 (MFA) 來新增額外口令驗證,將帳戶安全提升到嶄新等級。

為你提供最優質的服務

1對1售前諮詢、7x24技術服務、更快速的回應、更多的免費支援服務。

1對1售前諮詢

由經驗豐富的雲專家為不同規模企業客戶提供一對一的售前諮詢。了解更多

24/7 技術服務

售後服務時間從每周5天,每天10小時延長到每周7天,每天24小時。了解更多

更好的技術支援

基本售後支援計劃的免費服務數量從每季度3個提升至6個。了解更多

更快的服務回應時間

針對一般指導,阿里雲售後回應時間從36小時縮短至18小時。了解更多