全部产品
云市场

通过RAM配置人机验证权限控制

更新时间:2019-09-24 21:28:03

人机验证支持阿里云访问控制(RAM)服务,您可以通过RAM的用户、用户组、角色、权限策略实现对人机验证服务的权限控制。

控制台登录与编程访问分离

在业务中集成人机验证能力,通常您需要在先控制台创建业务配置,然后在您的业务前端和服务端分别集成人机验证提供的功能接入代码。

在服务端集成人机验证功能接入代码时,需要您填写访问密钥(AccessKey)参数信息,供人机验证服务端验证您的身份。

通过创建不同的RAM用户,可以实现控制台登录与编程访问权限分离,即为创建业务配置与服务端调用设置不同的用户,更好地实现人员权限管控。您只需在创建RAM用户时为两个用户分别单独选择控制台密码登录编程访问访问方式即可:

  • 拥有编程访问方式的用户账号仅用于业务服务端的人机验证服务调用。
  • 拥有控制台密码登录访问方式的用户在人机验证控制台中管理业务配置。

    说明:您还可以为该用户开启多因素认证(MFA),进一步提升用户访问安全性。

关于创建RAM用户的具体操作步骤,请参见创建RAM用户

功能权限控制

RAM提供系统默认权限策略AliyunYundunAFSFullAccess用于管理用户通过控制台访问或通过编程调用人机验证服务接口,您只需为相关的RAM用户授予该权限,该RAM用户即可正常使用人机验证服务。

说明:系统默认权限策略AliyunYundunAFSFullAccess的授权粒度为服务级别,即拥有该权限的用户可以使用人机验证产品提供的所有功能。

如果您期望设置更细粒度的权限控制,您可以通过创建自定义策略的方式实现。例如,您可以创建包含以下策略内容的自定义策略,实现人机验证业务配置只读权限:

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Action": "yundun-afs:Describe*",
  6. "Resource": "*",
  7. "Effect": "Allow"
  8. }
  9. ]
  10. }

创建该自定义权限策略并为指定RAM用户授予该权限后,该用户在控制台中将只能查看业务配置,无法创建配置、修改配置、设置自定义样式、设置预警,也无法使用该账号的AccessKey调用人机验证服务接口。

关于创建自定义权限策略和用户授权的具体操作步骤,请参见创建自定义策略为RAM用户授权