什么是访问控制

访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。

前置概念

阅读本文前,您可能需要了解如下概念:

功能特性

统一管理访问身份及权限

  • 集中式访问控制

    • 集中管理RAM用户:管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA(Multi Factor Authentication)设备。

    • 集中控制RAM用户的访问权限:控制每个RAM用户访问资源的权限。

    • 集中控制RAM用户的资源访问方式:确保RAM用户在指定的时间和网络环境下,通过安全信道访问特定的阿里云资源。

  • 外部身份集成

精细多元的权限设置能力

  • 丰富的权限策略

    RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果系统权限策略不能满足您的需求,您还可以通过图形化工具快速地创建自定义权限策略。

  • 精细的控制粒度

    • 支持在资源级和操作级向RAM用户、RAM用户组和RAM角色授予访问权限。

    • 支持根据请求源IP地址、日期时间、资源标签等条件属性创建更精细的资源访问控制策略。

    • 支持指定授权范围为整个阿里云账号或指定资源组。

云SSO实现多账号统一身份权限管理

云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。您可以在云SSO中进行一次性统一配置,即可完成面向多个阿里云账号的身份管理、单点登录和权限配置。为了实现这一目标,云SSO提供了独立于RAM的身份目录,但其权限管理复用了RAM中的系统策略和自定义策略语法。此外,云SSO用户对RD账号的访问,本质上是云SSO用户扮演每个RD账号中的RAM角色进行的再一次单点登录。

免费使用

RAM为免费产品,经过实名认证的阿里云账号可以直接使用,不收取任何费用。

产品优势

使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享阿里云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。

应用场景

应用场景

描述

用户管理与分权

企业A的某个项目(Project-X)上云,购买了多种阿里云资源,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,所需权限也不同。

企业A希望能够达到以下要求:

  • 企业A不希望多员工共享同一个云账号,共享云账号可能导致密码或访问密钥泄露。

  • 企业A希望能给员工创建独立账号(操作员账号)并独立分配权限,做到责权一致。

  • 企业A希望用户账号只能在授权的前提下操作资源,所有用户账号的所有操作行为可审计。

  • 企业A希望随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。

  • 企业A不需要对用户账号进行独立的计量计费,所有发生的费用统一计入云账号账单。

移动应用使用临时安全令牌访问阿里云

企业A开发了一款移动应用(App),并购买了对象存储(OSS)服务。App需要直连OSS上传或下载数据,但是App运行在用户自己的移动设备上,这些设备不受企业A的控制。

企业A有如下要求:

  • 直传数据:企业A不希望所有App都通过企业的服务端应用服务器(Application Server)来进行数据中转,而希望能够直连OSS上传或下载数据。

  • 安全管控:企业A不希望将访问密钥(AccessKey)保存到移动设备中,因为移动设备是归属于用户控制,属于不可信的运行环境。

  • 风险控制:企业A希望将风险控制到最小,每个App直连OSS时都必须拥有最小的访问权限且访问时效需要很短。

跨阿里云账号的资源授权

企业A购买了多种阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。企业A希望将部分业务授权给企业B。

企业A有如下要求:

  • 企业A希望能专注于业务系统,仅作为资源Owner。企业A希望可以授权账号B来操作部分业务,例如:云资源运维、监控以及管理等。

  • 企业A希望当企业B的员工加入或离职时,无需做任何权限变更。企业B可以进一步将企业A的资源访问权限分配给企业B的RAM用户(员工或应用),并可以精细控制其员工或应用对资源的访问和操作权限。

  • 企业A希望如果双方合同终止,企业A随时可以撤销企业B的授权。

对云上应用进行动态身份管理与授权

企业A购买了ECS实例,并计划在ECS中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API。

资源分组和授权

游戏公司A正在开发3个游戏项目,每个游戏项目都会用到多种云资源。公司A只有1个阿里云账号,该阿里云账号下有超过100个ECS实例。

公司A有如下要求:

  • 项目独立管理:每个管理员各自能够独立管理项目人员及其访问权限。

  • 按项目分账:财务部门希望能够根据项目进行出账,以解决财务成本分摊的问题。

  • 共享底层网络:客户希望云资源的底层网络默认共享。

使用方式

注册阿里云账号后,您可以通过以下方式使用RAM管理用户身份与资源访问权限: