访问控制

集中管理云上身份及访问权限的管理服务

阿里云访问控制(Resource Access Management)服务是一个集中管理云上身份及访问权限的管理服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。

使用阿里云访问控制服务,您可以集中管理您云上资源的访问权限,细粒度的将权限授权给需要访问的用户,从而保障云上资源的安全。

优点

增强安全性
支持多因素认证(MFA)技术来保护您的帐号安全
可用性
根据您的需求可以通过管理控制台或API来管理配置访问控制服务
集中管理
创建、管理、重命名及删除子用户,群组以及角色,并授予必要的权限
统一的管理阿里云资源的访问权限及用户身份
根据业务需求撤销单个或一批资源或用户的访问权限
支持多种授权场景
使用访问控制服务本身不需要支付任何费用,
只需要支付子用户在其他服务中购买资源所产生的消费
可以为企业出一份总账单,而不用因使用多个帐号产生零散的账单

产品详情

  • 高度灵活

    细粒度授权

    允许对单个资源的单个操作授权。 例如,可以授权允许创建,操作及删除资源


    多维度授权

    从访问者IP, 时间等多重维度对访问者权限进行限制


    版本管理机制

    维护多个授权策略版本,以减小策略误修改的风险

  • 多种授权场景

    使用访问控制服务本身不需要支付任何费用,只需要支付子用户在其他服务中购买资源所产生的消费


    可以为企业出一份总账单,而不用因使用多个帐号产生零散的账单

  • 身份管理

    用户身份管理

    使用主帐号创建并管理用户的身份和权限


    多因素认证

    支持符合TOTP标准(RFC 6238)的多因素认证协议以保护您的密码安全


    独立的密码策略管理

    支持自定义密码强度策略并设置密码重试次数,密码有效期以及其他密码策略


    用户组

    通过用户组您可以将需要相同权限的用户加入同一个用户组


    访问密钥(Access Key)

    可以为子用户设置访问密钥(Access Key)来访问阿里云API

  • 授权管理

    允许或禁止

    可以设置允许或禁止某一用户对某个资源进行某项操作,并可以附加其他条件


    自定义授权

    使用自定义授权可以更有效的管理用户权限


    分组授权

    使用用户组分组授权根据用户场景进行授权,可以有效的减少授权成本


    用户授权

    可以为您帐号下的用户或用户组授权

  • 授权策略管理

    授权策略管理

    根据具体的需求创建、修改或删除自定义授权策略,例如配置一个可以从特定IP段对某个ECS实例进行指定操作的权限


    资源访问

    RAM用户可以通过控制台,API 或阿里云命令行工具(aliyuncli)来操作资源

  • 阿里云安全令牌服务

    访问安全

    通过使用访问控制(RAM)中的令牌颁发服务,您可以方便的将云上资源的部分访问权限颁发给移动客户端,使您的移动客户可以直接访问云上资源


    自定义有效期

    支持自定义令牌有效期以提高安全性

  • 集中控制

    用户资源访问方式

    可以限制用户访问阿里云资源的方式,例如必须使用安全链路(比如SSL)或者必须在某个时间段从某个 IP 地址访问


    角色及外部帐号联盟登录管理

    通过配置关联访问控制角色和外部帐号身份系统(例如您本地企业域帐号或应用帐号),可以使外部身份直接访问管理阿里云控制台或API


    云资源

    集中管理 RAM 用户创建的数据实例,所以在用户离开您的组织后您依然对这些资源拥有完全控制权

领军客户实战场景

  • 企业用户账号管理与分权
  • 针对移动App的临时授权管理
  • 不同企业之间的资源操作与授权管理
企业用户账号管理与分权

企业用户账号管理与分权

企业A的某个项目上云,购买了多种云资源。项目里有多个员工需要操作这些云资源,比如有的负责购买,有的负责运维,还有的负责线上应用。由于每个员工的工作职责不一样,需要的权限也不一样。出于安全或信任的考虑,A不希望将云账号密钥直接透露给员工,而希望能给员工创建相应的用户账号。用户账号只能在授权的前提下操作资源,不需要对用户账号进行独立的计量计费,所有开销都算在A的头上。当然,A随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。

场景推荐配置

  • 访问控制(RAM)用户及权限管理配置

能够解决

  • - 给主账号绑定MFA设备:给主账号设置多因素认证,避免因主账号密码泄露导致风险

  • - 开通访问控制服务

  • - 创建用户账号:为不同员工(或应用系统)创建RAM用户账号,并按需设置登录密码或创建AccessKey

  • - 创建群组:如果有多个员工的职责相同,建议创建群组,并将用户添加到群组

  • - 授权:给群组或用户添加一条或多条系统授权策略。如果需要更细粒度的授权,可以创建自定义授权策略,然后给群组或用户授权

针对移动App的临时授权管理

针对移动App的临时授权管理

企业A开发了一款移动App,并购买了OSS服务。移动App需要上传数据到OSS(或从OSS下载数据),A不希望所有App都通过AppServer来进行数据中转,而希望让App能直连OSS上传/下载数据。由于移动App运行在用户自己的终端设备上,这些设备并不受A的控制。出于安全考虑,A不能将访问密钥保存到移动App中。A希望将安全风险控制到最小,比如,每个移动App直连OSS时都必须使用最小权限的访问令牌,而且访问时效也要很短(比如30分钟)。

场景推荐配置

  • 访问控制(RAM)服务安全令牌(STS Token)

能够解决

  • - 创建角色,并为角色授予相应的授权策略

  • - 为App Server创建RAM用户,并授予此用户扮演角色(AssumeRole)的权限

  • - App Server颁发STS Token

不同企业之间的资源操作与授权管理

不同企业之间的资源操作与授权管理

账号A和账号B分别代表不同的企业。A购买了多种云资源(如ECS实例/RDS实例/SLB实例/OSS存储桶/...)来开展业务。A希望能专注于业务系统,而将云资源运维监控管理等任务委托(或授权)给企业B。此外,B还可以进一步将A的资源访问权限分配给B的某一个或多个员工。B可以精细控制其员工对A所控制的资源的操作权限。如果A和B的这种代运维合同终止,A随时可以撤销对B的授权。

场景推荐配置

  • 访问控制角色跨帐号授权

能够解决

  • - 创建一个角色,并赋予跨帐号访问的权限

  • - 创建一个子用户,并授予子用户扮演角色的权限

常见问题

1. 如何开始使用访问控制服务?

在您注册了阿里云帐号之后,您可以使用阿里云管理控制台或访问控制 API 来创建用户及用户组并为其分配权限。

2. 怎样使用子用户登录控制台?

您可以访问https://signin-intl.aliyun.com子用户登录页登录,也可以使用控制台概览页的子用户登录链接登录。

3. 有哪些云产品支持访问控制服务?

服务控制台API相关文档
云服务器 ECSECS权限定义
云数据库 RDS 版RDS 权限定义
负载均衡负载均衡 权限定义
专有网络 VPCVPC 权限定义
弹性公网 IP弹性公网IP 权限定义
对象存储 OSS对象存储 权限定义
表格存储 OTS表格存储 权限定义
消息服务消息服务 权限定义
CDNCDN 权限定义
云数据库 Redis 版
云数据库 Memcache 版
云监控
服务器安全(安骑士)
DDoS防护
移动安全
工单系统

4. 什么是角色?

RAM角色是一种虚拟用户(或影子账号),它是RAM用户类型的一种。这种虚拟用户有确定的身份,也可以被赋予一组权限(Policy), 但它没有确定的身份认证密钥,而只能被 RAM 用户扮演。

5. 哪些权限可以授予RAM用户?

一个新用户默认没有任何权限。一个 RAM 用户代表一个操作者,必须被显示的授权进行某项操作。只有在授权之后,RAM 用户才能通过控制台或 API 进行相应操作。

6. 什么是授权策略?

一个授权策略是通过授权策略语言描述的一组权限。授权策略可以精确的定义资源集合和操作集合,以及其他授权条件限制。

7. 如果查看阿里云系统授权策略?

登录访问控制管理控制台并进入授权策略管理页,即可查看所有系统授权策略。

8. 什么是RoleARN?

RoleARN是一个权限资源描述符用来唯一的表示一个角色。RoleARN遵循阿里巴巴 ARN命名规则。

例如,某个云帐号下角色"devops"的RoleARN是"acs:ram::1234567890123456:role/devops"

9. 如何删除一个具有多版本的授权策略?

首先您需要确保除了默认版本以外的其他版本都已删除。只有当授权策略只有默认版本存在时,授权策略才可以被删除。

10. 如何分配常用权限?

阿里云提供一组定义了常用权限的系统授权策略。这些授权策略由阿里云定义,例如ECS只读权限,ECS 完全管理权限。您可以使用这些系统授权策略,但无法修改他们。

11. 如何创建一个自定义授权策略?

1. 登录访问控管理控制台,选择授权策略管理,然后进入自定义授权策略选项卡;
2. 单击“新建授权策略”;
3. 选择一个授权策略模板;
4. 编辑名称,备注以及策略内容;
5. 在编辑完成后,点击添加策略以完成授权策略的创建。

12. 如何为一个群组授予权限?

1. 登录访问控制控制台并进入群组管理;
2. 选择一个组,点击“授权”进入授权页;
3. 选择添加您需要的权限,点击确定即可授权。

13. 如果为一组用户分配相同的权限?

您可以将权限授予用户组,组内的用户都将继承群组的权限。

14. RAM 用户拥有哪几种安全密钥?

RAM 用户可以使用AccessKey访问阿里云 API,或通过用户名密码登录阿里云控制台访问资源。您也可以启用多因素认证(MFA)来加入额外的口令验证,这将使您的账户安全提升到一个新的等级。