全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
分布式关系型数据库 DRDS

主子账号介绍

更新时间:2017-08-04 16:17:34

本节主要介绍阿里云的访问控制服务(RAM)的基本概念以及 RAM 在 DRDS 中的应用场景。

RAM 介绍

RAM 是阿里云提供的用户身份管理与访问控制服务。使用 RAM 可以创建、管理用户账号(比如员工、系统或应用程序),并控制这些用户账号对云账户名下资源的操作权限。当企业或者组织存在多用户协同操作资源时,RAM 可以避免云账号秘钥大范围传播,按需分配最小权限,从而降低企业信息安全管理风险。详细信息请参考 RAM 产品文档

RAM 基本概念

  • 云账户

    云账户是阿里云资源归属、资源使用计量计费的基本主体。使用阿里云服务,首先需要注册一个云账户。云账户为其名下所拥有的资源付费,并对其名下所有资源拥有完全权限。

  • RAM 用户

    在一个云账户下创建的 RAM 用户(可以对应企业内的员工、系统或应用程序)。RAM 用户不拥有资源,没有独立的计量计费,这些用户由所属云账户统一控制和付费。RAM 用户只有在获得云账户的授权后才能登录控制台或使用 API 操作云账户下的资源。

  • 身份凭证( Credential )

    用于证明用户真实身份的凭据,通常是指登录密码或访问密钥(AccessKey)。

    • 登录名/密码( Password ):用于登陆阿里云控制台进行资源操作,以便查看订单、账单或购买资源。
    • 访问密钥( AccessKey ):用于构造一个 API 请求(或者使用云服务 SDK )并操作资源。
  • 角色( Role )

    是一种虚拟身份或影子账号,表示某种操作权限的虚拟概念,有独立的身份 ID,但是没有独立的登录密码和 AccessKey。子账号可以扮演角色,扮演角色时拥有该角色自身的权限。

  • 资源( Resource )

    代表用户可访问的云资源,比如该用户所拥有的 DRDS 实例,或者某个 DRDS 实例下面的某个数据库等。

  • 权限( Permission )

    允许或拒绝一个用户对某种资源执行资源管控或者使用类操作。

  • 授权策略( Policy )

    用于定义权限规则,比如允许用户读取或者写入某些资源。

  • 角色扮演

    子账号和角色可以类比为某个个人和其身份的关系。某人在公司的角色是员工,在家里的角色是父亲,在不同的场景扮演不同的角色,但是还是同一个人。在扮演不同的角色的时候也就拥有对应角色的权限。单独的员工或者父亲概念并不能作为一个操作的实体,只有有人扮演了之后才是一个完整的概念。同一个角色也可以被多个不同的个人同时扮演。完成角色扮演之后,就自动拥有该角色的所有权限。

DRDS 的 RAM 应用场景示例

假设某阿里云用户 Alice 拥有两个 DRDS 个实例,DRDS_a 和 DRDS_b。 Alice 对这两个实例都拥有完全的权限。

  1. 为了避免阿里云账号的 AccessKey 泄露导致安全风险,Alice 使用 RAM 创建了两个子账号 Bob 和 Carol。
  2. Alice 建立了两个授权策略,access_drds_a 和 access_drds_b,分别表示 DRDS_a 和 DRDS_b 的读写权限。
  3. Alice 在控制台分别对 Bob 和 Carol 进行授权,使 Bob 对 DRDS_a 拥有读写权限,Carol 对 DRDS_b 拥有读写权限。

Bob 和 Carol 都拥有独立的 AccessKey,这样万一泄露也只会影响其中一个 DRDS 实例,而且 Alice 可以很方便的在控制台取消泄露用户的权限。

DRDS RAM 应用场景示意图
DRDS权限控制.png
本文导读目录