借助访问控制RAM(Resource Access Management)的RAM用户和RAM角色,您可以实现权限分割的目的,按需为RAM用户和RAM角色赋予不同权限,并避免因暴露阿里云账号密钥造成的安全风险。
应用场景
以下是使用到访问控制RAM的典型场景。
-
为RAM用户授权
企业A的某个项目(Project-X)上云,购买了多种阿里云产品,例如:高速通道产品、ECS实例、RDS实例、SLB实例、OSS存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,需要的权限也不一样。企业A希望能够达到以下要求:
- 出于安全或信任的考虑,A不希望将云账号密钥直接透露给员工,而希望能给员工创建独立账号。
- 用户账号只能在授权的前提下操作资源。A随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。
- 不需要对用户账号进行独立的计量计费,所有开销都由A来承担。
针对以上需求,可以借助RAM的授权管理功能实现用户分权及资源统一管理。关于RAM用户的更多信息,请参见什么是RAM用户。
-
借助RAM角色实现跨云账号访问高速通道的资源
云账号A和云账号B分别代表不同的企业。A购买了多种云资源来开展业务,例如:ECS实例、高速通道等。
- 企业A希望能专注于业务系统,而将云资源运维、监控、管理等任务授权给企业B。
- 企业B还可以进一步将A的高速通道资源访问权限分配给B的某一个或多个员工,B可以精细控制其员工对资源的操作权限。
- 如果A和B的这种运维合同关系终止,A随时可以撤销对B的授权。
针对以上需求,可以借助RAM角色实现跨账号授权及资源访问的控制。关于RAM角色的更多信息,请参见RAM角色概览。
权限策略
为RAM用户授予不同的权限策略,可以控制RAM用户访问不同的云资源,达到权限控制的目的。
高速通道支持的系统权限策略包括AliyunExpressConnectFullAccess和AliyunExpressConnectReadOnlyAccess。
| 权限名称 | 作用 | 适用范围 |
|---|---|---|
| AliyunExpressConnectFullAccess | 管理高速通道的权限。 |
|
| AliyunExpressConnectReadOnlyAccess | 只读访问高速通道的权限。 |
|
高速通道除以上描述的系统权限外,还支持自定义权限策略。关于自定义权限策略的更多信息,请参见权限策略和示例。