访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。
前置概念
阅读本文前,您可能需要了解如下概念:
功能特性
统一管理访问身份及权限
集中式访问控制
集中管理RAM用户:管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA(Multi Factor Authentication)设备。
集中控制RAM用户的访问权限:控制每个RAM用户访问资源的权限。
集中控制RAM用户的资源访问方式:确保RAM用户在指定的时间和网络环境下,通过安全信道访问特定的阿里云资源。
外部身份集成
单点登录SSO(Single Sign On):支持阿里云与企业身份提供商IdP(Identity Provider)进行用户SSO或角色SSO,使用企业IdP中的账号登录阿里云。
钉钉账号集成:为RAM用户绑定一个钉钉账号,然后就可以使用该钉钉账号登录阿里云。
SCIM用户同步:通过SCIM协议将企业内部账号同步到RAM。更多信息,请参见通过SCIM协议将企业内部账号同步到阿里云RAM。
精细多元的权限设置能力
丰富的权限策略
RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果系统权限策略不能满足您的需求,您还可以通过图形化工具快速地创建自定义权限策略。
精细的控制粒度
支持在资源级和操作级向RAM用户、RAM用户组和RAM角色授予访问权限。
支持根据请求源IP地址、日期时间、资源标签等条件属性创建更精细的资源访问控制策略。
支持指定授权范围为整个阿里云账号或指定资源组。
云SSO实现多账号统一身份权限管理
云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。您可以在云SSO中进行一次性统一配置,即可完成面向多个阿里云账号的身份管理、单点登录和权限配置。为了实现这一目标,云SSO提供了独立于RAM的身份目录,但其权限管理复用了RAM中的系统策略和自定义策略语法。此外,云SSO用户对RD账号的访问,本质上是云SSO用户扮演每个RD账号中的RAM角色进行的再一次单点登录。
免费使用
RAM为免费产品,经过实名认证的阿里云账号可以直接使用,不收取任何费用。
产品优势
使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享阿里云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。
应用场景
应用场景 | 描述 |
企业A的某个项目(Project-X)上云,购买了多种阿里云资源,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,所需权限也不同。 企业A希望能够达到以下要求:
| |
企业A开发了一款移动应用(App),并购买了对象存储(OSS)服务。App需要直连OSS上传或下载数据,但是App运行在用户自己的移动设备上,这些设备不受企业A的控制。 企业A有如下要求:
| |
企业A购买了多种阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。企业A希望将部分业务授权给企业B。 企业A有如下要求:
| |
企业A购买了ECS实例,并计划在ECS中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API。 | |
游戏公司A正在开发3个游戏项目,每个游戏项目都会用到多种云资源。公司A只有1个阿里云账号,该阿里云账号下有超过100个ECS实例。 公司A有如下要求:
|
使用方式
注册阿里云账号后,您可以通过以下方式使用RAM管理用户身份与资源访问权限: