访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。
功能特性
统一管理访问身份及权限
- 集中式访问控制
- 集中管理RAM用户:管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA(Multi Factor Authentication)设备。
- 集中控制RAM用户的访问权限:控制每个RAM用户访问资源的权限。
- 集中控制RAM用户的资源访问方式:确保RAM用户在指定的时间和网络环境下,通过安全信道访问特定的阿里云资源。
- 外部身份集成
- 单点登录SSO(Single Sign On):支持阿里云与企业身份提供商IdP(Identity Provider)进行用户SSO或角色SSO,使用企业IdP中的账号登录阿里云。
- 钉钉账号集成:为RAM用户绑定一个钉钉账号,然后就可以使用该钉钉账号登录阿里云。
- SCIM用户同步:通过SCIM协议将企业内部账号同步到RAM。更多信息,请参见通过SCIM协议将企业内部账号同步到阿里云RAM。
精细多元的权限设置能力
- 丰富的权限策略
RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果系统权限策略不能满足您的需求,您还可以通过图形化工具快速地创建自定义权限策略。
- 精细的控制粒度
- 支持在资源级和操作级向RAM用户、RAM用户组和RAM角色授予访问权限。
- 支持根据请求源IP地址、日期时间、资源标签等条件属性创建更精细的资源访问控制策略。
- 支持指定授权范围为整个阿里云账号或指定资源组。
云SSO实现多账号统一身份权限管理
云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。您可以在云SSO中进行一次性统一配置,即可完成面向多个阿里云账号的身份管理、单点登录和权限配置。为了实现这一目标,云SSO提供了独立于RAM的身份目录,但其权限管理复用了RAM中的系统策略和自定义策略语法。此外,云SSO用户对RD账号的访问,本质上是云SSO用户扮演每个RD账号中的RAM角色进行的再一次单点登录。
免费使用
RAM为免费产品,经过实名认证的阿里云账号可以直接使用,不收取任何费用。
产品优势
使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享阿里云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。
应用场景
应用场景 | 描述 |
---|---|
用户管理与分权 | 企业A的某个项目(Project-X)上云,购买了多种阿里云资源,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,需要的权限也不同。 企业A希望能够达到以下要求:
|
移动应用使用临时安全令牌访问阿里云 | 企业A开发了一款移动应用(App),并购买了对象存储(OSS)服务。App需要直连OSS上传或下载数据,但是App运行在用户自己的移动设备上,这些设备不受企业A的控制。 企业A有如下要求:
|
跨阿里云账号的资源授权 | 企业A购买了多种阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。企业A希望将部分业务授权给企业B。 企业A有如下要求:
|
对云上应用进行动态身份管理与授权 | 企业A购买了ECS实例,并计划在ECS中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API。 |
RAM资源分组与授权 | 游戏公司A正在开发3个游戏项目,每个游戏项目都会用到多种云资源。公司A只有1个阿里云账号,该阿里云账号下有超过100个ECS实例。 公司A有如下要求:
|
使用方式
注册阿里云账号后,您可以通过以下方式使用RAM管理用户身份与资源访问权限:
- RAM控制台
具有交互式操作的Web服务页面。您可登录RAM控制台完成相关操作。
- 阿里云SDK
- OpenAPI开发者门户
提供快速检索接口、在线调用API和动态生成SDK示例代码等服务。更多信息,请参见OpenAPI开发者门户。
- 阿里云CLI
通过命令行的方式调用API。更多信息,请参见什么是阿里云CLI?。