本文罗列了 RAM 中用到的主要术语,帮助您正确理解和使用 RAM。

云账号(主账号)

开始使用阿里云服务时,首先需要注册一个云账号。云账号是阿里云资源归属、资源使用计量计费的基本主体。云账号为其名下所拥有的资源付费,并对其名下所有资源拥有完全控制权限。

默认情况下,资源只能被主账号所访问,任何其他用户访问都需要获得主账号的显式授权。云账号就是操作系统的 root 或 Administrator,所以我们有时称它为根账号或主账号。

RAM 用户

RAM 用户是 RAM 的一种实体身份类型,有确定的身份 ID 和身份凭证,它通常与某个确定的人或应用程序一一对应。

  • 一个云账号下可以创建多个 RAM 用户(可以对应企业内的员工、系统或应用程序)。
  • RAM 用户不拥有资源,没有独立的计量计费,这些用户由所属云账号统一控制和付费。
  • RAM 用户归属于云账号,只能在所属云账号的空间下可见,而不是独立的云账号。
  • RAM 用户必须在获得云账号的授权后才能登录控制台或使用 API 操作云账号下的资源。

RAM角色

RAM 角色是 RAM 的一种虚拟身份类型,它没有确定的身份凭证,它必须关联到某个实体身份上才能使用。

RAM 角色不同于教科书式角色,RAM 角色是一种虚拟用户(或影子账号),这种虚拟用户可以被赋予一组权限,但它没有确定的身份凭证(登录密码或 AccessKey)。RAM 角色需要被一个受信的实体用户扮演,扮演成功后实体用户将获得 RAM 角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源。

根据 RAM 可信实体的不同,RAM 支持以下三种类型的角色:
  • 阿里云账号:允许 RAM 用户所扮演的角色。扮演角色的 RAM 用户可以属于自己的云账号,也可以是属于其他云账号。此类角色主要用来解决跨账号访问和临时授权问题。
  • 阿里云服务:允许云服务所扮演的角色。此类角色主要用于授权云服务代理您进行资源操作。
  • 身份提供商:允许受信身份提供商下的用户所扮演的角色。此类角色主要用于实现与阿里云的 SSO。

身份凭证

身份凭证是用于证明用户真实身份的凭据,它通常是指登录密码或访问密钥(Access Key)。
说明 请妥善保管身份凭证信息。
  • 登录名/密码(Password):您可以使用登录名和密码登录阿里云控制台,查看订单、账单或购买资源,并通过控制台操作资源。
  • 访问密钥(AccessKey):您可以使用访问密钥建立一个 API 请求(或者使用云服务 SDK)来操作资源。
  • 多因素认证(MFA,Multi-Factor Authentication):是一种简单有效的最佳安全实践,它能够在用户名和密码之外再增加一层安全保护。这些多重要素结合起来将为您的账户提供更高的安全保护。启用 MFA 后,用户登录阿里云时,系统将要求输入两层安全要素:
    • 第一安全要素:用户名和密码。
    • 第二安全要素:来自其虚拟 MFA 设备的可变验证码。

账号别名

当 RAM 用户登录时,登录名称的后缀表示可以使用账号别名、默认域名、域别名中的任何一种。

每个云账号可以在 RAM 中设置一个全局唯一的账户别名。账户别名主要用于 RAM 用户登录,登录成功后可作为显示名。

例如,公司 company1 可以为其云账号设置账号别名为:company1,该云账号下的 RAM 用户 alice 可以使用alice@company1进行登录,登录成功后,用户的显示名为:alice@company1。

默认域名

阿里云为每个云账号分配了一个默认域名,格式为:<AccountAlias>.onaliyun.com。默认域名可作为 RAM 用户登录、SSO 管理等场景下该云账号的唯一标识符。

域别名

如果您持有公网上可以解析的域名,那么您可以使用该域名替代您的默认域名,该域名称为 域别名。域别名就是指默认域名的别名。
说明 您创建的域别名必须经过域名归属验证,才能使用。验证通过后,您可以使用域别名替代所有需要使用默认域名的场景。

单点登录

阿里云支持基于 SAML 2.0 的 SSO(Single Sign On,单点登录),也称为身份联合登录。 阿里云目前支持两种 SSO 登录方式:
  • 用户 SSO:企业员工在登录后,将以 RAM 用户身份访问阿里云。
  • 角色 SSO:企业可以在本地 IdP 中管理员工信息,无需进行阿里云和企业 IdP 间的用户同步,企业员工将使用指定的 RAM 角色来登录阿里云。

权限

权限是指是否允许用户对某种资源执行某种操作,权限分为:允许(Allow)或拒绝(Deny)。

操作分为两大类:
  • 资源管控操作:指云资源的生命周期管理及运维管理操作,例如 ECS 的实例创建、停止、重启,OSS 的 Bucket 创建、修改、删除等;所面向的用户一般是资源购买者或组织内的运维员工。
  • 资源使用操作:指使用资源的核心功能,例如 ECS 实例操作系统中的用户操作,OSS Bucket 的数据上传/下载;所面向的用户一般是组织内的研发员工或应用系统。
    说明
    • 对于弹性计算和数据库等产品,资源管控操作可以通过 RAM 来管理,而资源使用操作是在每个产品的实例内进行管理,例如:ECS 实例操作系统的权限控制,MySQL 数据库提供的权限控制。
    • 对于存储类等产品,如 OSS、Table Store 等,资源管控操作和资源使用操作都可以通过 RAM 来实现。

权限策略

权限策略是描述权限集的一种简单语言规范。RAM 支持的语言规范请参考:Policy 结构和语法

RAM 支持两种类型的权限策略:系统策略自定义策略

  • 对于阿里云管理的系统策略:统一由阿里云创建,用户只能使用不能修改,策略的版本更新由阿里云维护。
  • 对于客户管理的自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护。

资源

资源是云服务呈现给用户与之交互的对象实体的一种抽象,例如:OSS 存储桶、ECS 实例等。

我们为每个资源定义了一个全局的阿里云资源名称(Aliyun Resource Name, ARN)。格式如下:

acs:<service-name>:<region>:<account-id>:<resource-relative-id>

具体格式说明请参考:Policy 基本元素