基本概念
概念 | 说明 |
访问控制 | 访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。 |
阿里云账号(主账号) | 开始使用阿里云服务前,首先需要注册一个阿里云账号。阿里云账号是阿里云资源归属、资源使用计量计费的基本主体。阿里云账号为其名下所拥有的资源付费,并对其名下所有资源拥有完全控制权限。 默认情况下,资源只能被阿里云账号所访问,任何其他用户访问都需要获得阿里云账号的显式授权。阿里云账号就是操作系统的root或Administrator,所以我们有时称它为根账号或主账号。 |
身份 | 访问控制(RAM)中有三种身份:RAM用户、用户组和RAM角色。其中RAM用户和用户组是RAM的一种实体身份类型,RAM角色是一种虚拟用户身份。 |
RAM用户(子账号) | RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。
|
用户组 | 用户组是RAM的一种实体身份类型,用户组可以对职责相同的RAM用户进行分类并授权,从而更好的管理用户及其权限。
|
RAM角色 | RAM角色是一种虚拟用户,与实体用户(阿里云账号、RAM用户和云服务)和教科书式角色(Textbook role)不同。
根据RAM可信实体的不同,RAM支持以下三种类型的角色:
|
默认域名 | 阿里云为每个阿里云账号分配了一个默认域名,格式为: |
账号别名(企业别名) | 当RAM用户登录时,登录名称的后缀表示可以使用账号别名、默认域名或域别名中的任何一种。 每个阿里云账号可以在RAM中设置一个全局唯一的账号别名。账号别名主要用于RAM用户登录,登录成功后可作为显示名。 例如:企业可以为其阿里云账号设置账号别名为:company1,该阿里云账号下的RAM用户alice可以使用alice@company1进行登录,登录成功后,用户的显示名为:alice@company1。 |
域别名 | 如果您持有公网上可以解析的域名,那么您可以使用该域名替代您的默认域名,该域名称为域别名。域别名就是指默认域名的别名。 说明 域别名必须经过域名归属验证后才能使用。验证通过后,您可以使用域别名替代默认域名,用于所有需要使用默认域名的场景。 |
登录密码 | 登录密码是登录阿里云的身份凭证,用于证明用户真实身份的凭证。 说明 登录密码不支持查询,请妥善保管并定期更换。 |
访问密钥 | 访问密钥指的是访问身份验证中用到的AccessKey ID和AccessKey Secret。您可以使用访问密钥(或阿里云服务SDK)创建一个API请求,RAM通过使用AccessKey ID和AccessKey Secret对称加密的方法来验证某个请求的发送者身份,身份验证成功后将可以操作相应资源。 AccessKey ID和AccessKey Secret一起使用,AccessKey ID用于标识用户,AccessKey Secret用于验证用户的密钥。 说明 AccessKey Secret只在创建时显示,不支持查询,请妥善保管。 |
多因素认证 | 多因素认证(MFA)是一种简单有效的最佳安全实践,在用户名和密码之外再增加一层安全保护。这些要素结合起来将为您的账号提供更高的安全保护。启用多因素认证后,再次登录阿里云时,系统将要求输入两层安全要素:
|
服务提供商 | 服务提供商(SP)是指利用IdP的身份管理功能,为用户提供具体服务的应用。SP会使用IdP提供的用户信息。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。 |
身份提供商 | 身份提供商(IdP)是一个包含有关外部身份提供商元数据的RAM实体,它可以提供身份管理服务。
|
安全断言标记语言 | 安全断言标记语言(SAML 2.0)是实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级SSO的一种事实标准。 |
单点登录 | 阿里云支持基于SAML 2.0的单点登录SSO(Single Sign On),也称为身份联合登录。 企业根据自身需要,使用支持SAML 2.0的企业IdP(例如:AD FS)与阿里云进行SSO。阿里云提供以下两种基于SAML 2.0协议的SSO方式:
|
元数据文档 | 元数据文档由企业IdP提供,一般为XML格式,包含IdP的登录服务地址、用于验证签名的公钥及断言格式等信息。 |
SAML断言 | SAML协议中用于描述认证请求和认证响应的核心元素。例如:用户的具体属性就包含在认证响应的断言里。 |
信赖 | 建立在SP和IdP之间的互信机制,通常由公钥和私钥来实现。SP通过可信的方式获取IdP的SAML元数据,元数据中包含IdP签发SAML断言的签名验证公钥,SP则使用公钥来验证断言的完整性。 |
阿里云OAuth 2.0服务 | 对用户进行认证,接受用户对应用的授权,生成代表用户身份的令牌并返回给被授权的应用。 |
OAuth应用 | 获取用户授权,并获取代表用户身份的令牌,从而可以访问阿里云。 OAuth 2.0服务目前支持的应用类型包括:
|
OAuth范围 | OAuth 2.0服务通过OAuth范围来限定应用扮演用户登录阿里云后可以访问的范围。 |
权限策略 | 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。 在RAM中,权限策略是一种资源实体。RAM支持以下两种权限策略:
通过为RAM用户、用户组或RAM角色绑定权限策略,可以获得权限策略中指定的访问权限。 |
权限 | 权限是指是否允许用户对某种资源执行某种操作,权限分为:允许(Allow)或拒绝(Deny)。 操作分为两大类:
|
资源 | 资源(Resource)是云服务呈现给用户与之交互的对象实体的一种抽象,例如:OSS存储空间或ECS实例等。 |
限制条件 | 限制条件(Condition)是权限策略基本元素之一,表示授权生效的限制条件。 |
操作 | 操作(Action)是权限策略基本元素之一,表示对具体资源的操作。取值为:云服务所定义的API操作名称。 |
效力 | 效力(Effect)是权限策略基本元素之一,表示授权效力。取值为:允许(Allow)或拒绝(Deny)。 |
被授权主体 | 被授权主体(Principal)是指策略中定义的权限主体,被授权主体可以为RAM用户、用户组或RAM角色。 |
资源目录 | 资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级账号和资源关系管理服务。 |
标签 | 标签是云资源的标识,可以帮助您从不同维度对具有相同特征的云资源进行分类、搜索和聚合,让资源管理变得更加轻松。 |
系统标签 | 由系统自动定义的标签,只能查看,不能编辑。 |
自定义标签 | 由用户自定义的标签。 |
标签键值对(Key-Value) | 标签由一个键值对(Key-Value)组成,包含标签键(Key)、标签值(Value)。 |
资源共享 | 资源共享(Resource Sharing)是指多账号间通过共享的方式将一个账号下的指定资源共享给一个或多个目标账号使用。 |
资源所有者 | 资源所有者是资源共享的发起方,也是共享资源的拥有者,通常为资源目录的企业管理账号或成员账号。 |
共享的资源 | 共享的资源通常为某个云服务的某类资源。例如:专有网络(VPC)的交换机(VSwitch)。 |
资源使用者 | 资源使用者是资源共享的受益方,对共享的资源具有特定的操作权限,通常为资源目录内的一个或多个成员账号。 说明 资源使用者对共享资源的具体操作权限,由资源所属的云服务定义。 |
共享单元 | 共享单元是资源共享的实例。共享单元本身也是一种云资源,拥有独立的ID和ARN(Aliyun Resource Name)。共享单元包括:资源所有者、资源使用者和共享的资源。 |
资源组 | 资源组(Resource Group)是在阿里云账号下进行资源分组管理的一种机制。资源组帮助您解决单个云账号内多项目或多应用的资源分组,以及用户授权管理的复杂性问题。 |
资源夹 | 资源夹是资源目录内的组织单元,通常用于指代企业的分公司、业务线或产品项目。每个资源夹下可以放置成员账号,并允许嵌套子资源夹,最终形成树形的资源组织关系。 |
Root资源夹 | Root资源夹位于资源目录的顶层,没有父资源夹。资源关系依据Root资源夹向下分布。 |
成员账号 | 在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。您可以通过企业管理账号授予RAM用户、RAM用户组或RAM角色对成员账号内资源的访问权限。 成员账号分为如下两种类型:
|
企业管理账号 | 企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个企业管理账号。 为了确保企业管理账号的安全,建议您创建一个新的阿里云账号作为企业管理账号,避免将已有用途的云账号作为企业管理账号。同时,您可以为企业管理账号创建一个RAM用户并授予管理员权限,使用该RAM用户管理整个资源目录。资源目录中的所有操作都必须由企业管理账号或具有管理员权限的RAM用户执行。 说明 企业管理账号位于资源目录外部,不归属于资源目录,所以不受资源目录的任何管控策略影响。 |
操作审计 | 操作审计(ActionTrail)帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。您可以将这些行为事件下载或保存到日志服务或OSS存储空间,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。 |
影子跟踪 | 如果您创建跟踪的同时追踪了多个地域的操作事件,则操作审计会在相关地域创建相同配置的跟踪来收集这些地域的操作事件,这种跟踪叫做影子跟踪。 |
平台事件跟踪 | 平台事件跟踪是阿里云账号创建的用于记录平台操作事件的跟踪。 |
多账号跟踪 | 多账号跟踪是企业管理账号创建的用于记录所有成员账号操作事件的跟踪。多账号跟踪会把所有成员账号的操作事件投递到多账号跟踪设置的OSS存储空间或SLS Logstore中。 |
单账号跟踪 | 单账号跟踪是阿里云账号创建的用于记录当前账号操作事件的跟踪。 |
跟踪 | 通过设置跟踪将操作事件保存到指定的OSS存储空间和SLS Logstore下,便于进一步分析和存储。根据创建者和作用范围的不同分为单账号跟踪、多账号跟踪和平台事件跟踪。 |
Home地域 | Home地域是发起创建跟踪操作的地域。 |
全局事件 | 全局事件是全局服务的操作事件。在操作审计控制台的事件查询页面,选择任意地域均可看到全量的全局事件。但当事件被投递到用户设置的OSS存储空间时,全局事件与跟踪的Home地域事件放在同一个目录下。 |
全局服务 | 全局服务是不区分地域的服务,例如:RAM。全局服务会产出全局事件。 |
平台操作事件 | 平台操作事件是阿里云运维团队针对用户服务的维护操作所产生的事件。您可以通过平台操作审计创建跟踪,记录此类事件。 |
操作事件 | 操作事件是用户通过阿里云控制台、OpenAPI、开发者工具访问和管控云上服务所产生的事件记录。操作事件包含时间、人员、资源、操作类型、操作结果、来源IP等信息。 |
配置审计 | 配置审计(Config)是一项资源审计服务,为您提供面向资源的配置历史追踪、配置合规审计等能力。面对大量资源,帮您轻松实现基础设施的自主监管,确保持续性合规。 |
企业版配置审计 | 在云上使用多个企业管理账号的企业客户,可将配置审计升级为企业版配置审计,实现跨账号的中心化合规管理。配置审计与资源目录相结合,使企业客户可以在企业管理账号中对所有成员账号的资源配置进行合规审计。 |
个人版配置审计 | 如果您无跨账号合规管理的需求,则您可以使用个人版配置审计,管理单个阿里云账号下资源的合规审计。 |
等保预检 | 等保2.0预检为云上的合规检测,为您动态且持续地检测阿里云上资源的合规性,从而避免正式检测时多次反复整改,帮助您快速通过等保检测。 |
合规时间线 | 规则评估在资源配置变更发生时触发,配置时间线会有一个对应的合规时间线,是每次合规评估结果的历史记录。合规时间线的合规评估记录与规则触发方式有关。
|
规则 | 规则指用于判断资源配置是否合规的规则函数。配置审计使用函数计算中的函数来承载规则代码。规则绑定资源类型后,当该资源类型中的资源发生配置变更时,自动触发规则评估,检查本次配置变更的合规性。您也可以设置规则定时触发,配置审计定时为您检查所有资源的合规性。配置审计支持的规则如下:
|
配置时间线 | 配置审计为您提供每个监控范围内资源的配置时间线。
|
监控范围 | 监控范围指监控资源类型的范围,监控的粒度是资源类型。
|
资源配置详情 | 配置审计通过云服务开放的资源查询接口可获取当前阿里云账号下的所有资源。您可以在资源列表中查看各个资源的配置信息,也可以快速跳转到指定资源的云服务控制台,对其进行管理。 |
资源类型 | 资源类型是一组实体资源的归类。例如:云服务器ECS实例的资源类型为ECS实例。资源可以分为以下几类:
|
云企业网CEN | 云企业网(Cloud Enterprise Network)是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张高可用网络。云企业网可帮助您在不同地域VPC间,VPC与本地数据中心间搭建私网通信通道,通过自动路由分发及学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通,帮助您打造一张具有企业级规模和通信能力的互联网络。 |
转发路由器TR | 一个云企业网实例将在每个地域内创建一个转发路由器(Transit Router),作为您在每个地域内的网络管理运维中心。转发路由器可以帮您连接当前地域的网络实例,作为与同地域或跨地域网络实例互通的桥梁。转发路由器也是各个地域内路由表、路由策略、跨地域连接等功能的载体,您可以通过转发路由器添加路由、设置路由策略等,实现您多样化的组网和网络管理需求。 |
专有网络VPC | 专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、负载均衡、RDS等。专有网络是您自己独有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源如云服务器、云数据库RDS版和负载均衡等。 |
交换机vSwitch | 交换机(vSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源实例。专有网络是地域级别的资源,专有网络不可以跨地域,但包含所属地域的所有可用区。您可以在每个可用区内创建一个或多个交换机来划分子网。 |
高速通道EC | 高速通道(Express Connect)用于建立线下IDC和云上CEN间的私网通信通道,为客户提供一条高灵活度、高质量和高安全性的跨网络通信链路。 |
智能接入网关SAG | 智能接入网关(Smart Access Gateway)是阿里云提供的一站式快速上云解决方案。企业可通过智能接入网关实现Internet就近加密接入,获得更加智能、更加可靠、更加安全的上云体验。 |