RAM可以限制用户只能通过指定的访问方式访问企业的云资源,从而增强访问安全性。
应用场景
企业A购买了很多阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。为了确保其业务和数据安全,企业希望RAM用户只能通过HTTPS方式访问阿里云。
您可以根据需要创建自定义权限策略,然后创建RAM用户并为RAM用户授予对应的权限,从而保证RAM用户只能通过HTTPS方式访问阿里云。
步骤一:创建自定义权限策略
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
-
输入权限策略内容。
策略内容示例:RAM用户只能通过HTTPS方式访问ECS。您可以通过设置
Condition下acs:SecureTransport的值为true来实现。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:SecureTransport": "true" } } } ], "Version": "1" }说明Condition(限制条件)只针对当前权限策略描述的操作有效。您可以修改acs:SecureTransport为true或false。 单击页面上方的优化策略,然后单击执行,对权限策略内容进行高级优化。
高级权限策略优化功能会完成以下任务:
拆分不兼容操作的资源或条件。
收缩资源到更小范围。
去重或合并语句。
在创建权限策略页面,单击确定。
在创建权限策略对话框,输入策略名称和备注,然后单击确定。
步骤二:创建RAM用户
并为RAM用户授予对应的权限,从而保证RAM用户只能通过HTTPS方式访问阿里云。
步骤三:为RAM用户授权
控制台
-
进入新增授权页面
RAM控制台提供两种为RAM用户授权的操作入口,两种入口最终都会进入相同的授权配置页面。您可以根据操作习惯和场景选择:
-
从用户页面发起:推荐为特定用户授权时使用。
-
从授权页面发起:推荐需要为多个用户批量授权,或希望按权限反向关联用户时使用。
从用户页面发起
-
登录RAM控制台
-
在左侧导航栏选择。
-
在用户页面,找到已经创建好的RAM用户,单击操作列的添加权限。
您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。
从授权页面发起
-
登录RAM控制台
-
在左侧导航栏,选择。
-
在授权页面,单击新增授权。
-
-
在新增授权面板,为RAM用户添加权限。
-
选择资源范围:
-
账号级别:权限在当前阿里云账号内生效。
-
资源组级别:权限在指定的资源组内生效。如果RAM用户被授予了资源组级别的权限,该用户登录控制台后,必须在顶部导航栏将资源范围切换到被授权的资源组,才能正常访问和管理该资源组内的资源。
说明-
系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等),这些策略通常包含对所有云资源的完全控制权限或对访问控制(RAM)的完全管理权限等,请谨慎授予。
-
资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
-
-
-
选择授权主体:
授权主体即需要添加权限的RAM用户。如果是从用户页面发起,系统会自动选择当前的RAM用户。如果是从授权页面发起,需要手动选择RAM用户,支持批量选中多个。
-
选择权限策略:
-
系统策略:可以直接搜索并选择。搜索技巧:您可以利用搜索框快速定位策略。支持按产品名称(如
ECS、OSS)、权限级别(如ReadOnly、FullAccess)或完整的策略名称进行模糊搜索。 -
自定义策略:需要先创建自定义权限策略后再来授权。
-
-
单击确认新增授权。
-
-
确认授权绑定操作结果,单击关闭。
OpenAPI
授予自定义策略
-
调用CreatePolicy创建一个自定义策略,可以参考权限策略基本元素和权限策略示例库概览。
-
调用AttachPolicyToUser为RAM用户授予账号级别的权限,注意此处
PolicyType选择Custom。或者调用AttachPolicy为RAM用户授予资源组级别的权限。
授予系统策略
-
直接调用AttachPolicyToUser将权限策略绑定至指定RAM用户,注意此处
PolicyType选择System,PolicyName详见系统策略参考 。 -
或者调用AttachPolicy为RAM用户授予资源组级别的权限。