RAM和STS介绍

RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。

了解RAM和STS的功能特性和优势,请参见什么是访问控制什么是STS

背景介绍

RAM和STS解决的一个核心问题是如何在不暴露主账号的AccessKey的情况下,安全地授权他人访问。因为一旦主账号的AccessKey被泄露,会带来极大的安全风险:获得该账号AccessKey的人可任意操作该账号下所有的资源,盗取重要信息等。

RAM提供的是一种长期有效的权限控制机制。通过创建RAM用户,并授予RAM用户相应的权限,将不同的权限分给不同的用户。RAM用户的 AccessKey也不能泄露。即使RAM用户泄露也不会造成全局的信息泄露。一般情况下,RAM用户长期有效。

相对于RAM提供的长效控制机制,STS提供的是一种临时访问授权。通过调用STS,获得临时的AccessKey和Token。可以将临时AccessKey和Token发给临时用户,用来访问相应的资源。从STS获取的权限会受到更加严格的限制,并且具有时间限制。因此,即使出现信息泄露的情况,影响相对较小。

使用场景示例,请参见使用示例

基本概念

使用RAM和STS涉及的基本概念,请参见访问控制相关概念

RAM用户和角色可以类比为个人和其身份的关系。如,某人在公司的角色是员工,在家里的角色是父亲。同一人在不同的场景扮演不同的角色。在扮演不同角色的时候,拥有对应角色的权限。角色本身并不是一个操作的实体,只有用户扮演了该角色之后才是一个完整的操作实体。并且,一个角色可以被多个不同的用户同时扮演。

使用示例

为避免阿里云账号的AccessKey泄露而导致安全风险,某阿里云账号管理员使用RAM创建了两个RAM用户,分别命名为A和B,并为A和B生成独立的AccessKey。A拥有读权限,B拥有写权限。 管理员可以随时在RAM控制台取消RAM用户的权限。

现在因为某些原因,需要授权给其他人临时访问物联网平台接口的权限。这种情况下,不能直接把A的AccessKey透露出去,而应该新建一个角色C,并给这个角色授予读取物联网平台接口的权限。但请注意,目前角色C还无法直接使用。因为并不存在对应角色C的AccessKey,角色C仅是一个拥有访问物联网平台接口权限的虚拟实体。

需调用STS的AssumeRole接口,获取访问物联网平台接口的临时授权。在调用STS的请求中,RoleArn的值需为角色C的Arn。如果调用成功,STS会返回临时的AccessKeyId、AccessKeySecret和SecurityToken作为访问凭证(凭证的过期时间,在调用AssumeRole的请求中指定)。将这个凭证发给需要访问的用户,该用户就可以获得访问物联网平台接口的临时权限。

为什么RAM和STS的使用这么复杂?

虽然RAM和STS的概念和使用比较复杂,但这是为了账号的安全性和权限控制的灵活性而牺牲了部分易用性。

将RAM用户和角色分开,主要是为了将执行操作的实体和代表权限集合的虚拟实体分开。如果某用户需要使用多种权限,如读/写权限,但是实际上每次操作只需要其中的一部分权限,那么就可以创建两个角色。这两个角色分别具有读或写权限。然后,创建一个可以扮演这两个角色的RAM用户。当用户需要读权限的时候,就可以扮演其中拥有读权限的角色;使用写权限的时候同理。这样可以降低每次操作中权限泄露的风险。而且,通过扮演角色,可以将角色权限授予其他用户,更加方便了协同使用。

STS对权限的控制更加灵活。如按照实际需求设置有效时长。但是,如果需要一个长期有效的临时访问凭证,则可以只适用RAM用户管理功能,而无需使用STS。

在后面的章节中,我们将提供一些RAM和STS的使用指南和使用示例。如果您需要了解更多RAM和STS的代码详情,请参见RAM APISTS API