阿里云身份与权限
本文介绍您在访问阿里云资源前,需要了解的阿里云通用用户身份及对应的权限。
身份
阿里云将用户身份分为两种类型:实体用户身份和虚拟用户身份。
实体用户身份
实体用户身份指有确定的身份ID和身份凭证的身份,可以代表一个实际存在的对象,它通常与某个确定的人、企业或应用程序一一对应。身份凭证包括登录密码或访问密钥AK(AccessKey)。实体用户身份包括阿里云账号和访问控制RAM(Resource Access Management)服务中的RAM用户。通过实体用户身份访问云资源的方式包括:
使用用户名和密码、多因素认证MFA(Multi-Factor Authentication)通过控制台访问云资源。
使用AK通过程序访问云资源。
阿里云账号和RAM用户的特点和使用场景有所不同。访问阿里云资源前,请仔细阅读以下内容。
虚拟用户身份
虚拟用户身份指没有确定的身份凭证(登录密码或AK)的身份。阿里云的虚拟用户身份是指RAM服务中的RAM角色。RAM角色需要被一个可以信任的实体用户扮演。实体用户扮演成功后将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用STS Token就能以RAM角色身份访问被授权的资源。
RAM角色支持的可信实体如下表。
可信实体 | 使用场景 | 相关文档 |
阿里云账号 | 主要用于解决跨账号访问和临时授权问题,仅允许可信阿里云账号下的RAM用户扮演。可信阿里云账号既可以是当前账号,也可以是其他账号。 | |
阿里云服务 | 该角色主要用于解决跨云服务授权访问的问题,仅允许可信云服务扮演。 | |
身份提供商 | 主要用于实现与阿里云的单点登录(SSO),仅允许可信身份提供商下的用户扮演。 |
权限
权限是指不同用户身份对具体资源的访问能力,即在某种条件下允许或拒绝对某些资源执行某些操作。
实体用户身份权限
实体用户身份 | 默认权限 | 是否需要授权 | 授权说明 |
阿里云账号 | 拥有资源的所有权限 | 否 | 阿里云账号对其名下资源拥有完全控制的权限。任何其他用户访问云资源都需要获得阿里云账号的授权。 |
RAM用户 | 无任何权限 | 新建的RAM用户只有在被授权之后,才能通过控制台和API访问并使用云资源。 | 阿里云是通过RAM服务为不同身份绑定权限策略的方式实现授权。权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。 RAM服务支持以下两种权限策略:
您通过为RAM用户(或RAM用户组)绑定权限策略,可以使其获得权限策略中指定的访问权限。详情请参见为RAM用户授权(或为用户组授权)。 |
虚拟用户身份权限
阿里云的虚拟用户身份RAM角色默认没有任何权限。
新建的RAM角色在指定可信实体后,只有在被授权之后,才能通过控制台和API访问并使用云资源。
您可以通过为RAM角色绑定权限策略,使其获得权限策略中指定的访问权限。详情请参见文档:为RAM角色授权。