全部产品
云市场
云游戏

主子账号介绍

更新时间:2020-06-17 09:00:11

本文档主要介绍阿里云的访问控制服务RAM的基本概念以及RAM在PolarDB-X中的应用场景。

RAM介绍

RAM是阿里云提供的用户身份管理与访问控制服务。使用RAM可以创建、管理用户账号(比如员工、系统或应用程序),并控制这些用户账号对云账户名下资源的操作权限。当企业或者组织存在多用户协同操作资源时,RAM可以避免云账号秘钥大范围传播,按需分配最小权限,从而降低企业信息安全管理风险。详细信息请参考访问控制

RAM 基本概念

  • 云账户
    云账户是阿里云资源归属、资源使用计量计费的基本主体。使用阿里云服务,首先需要注册一个云账户。云账户为其名下所拥有的资源付费,并对其名下所有资源拥有完全权限。

  • RAM用户
    在一个云账户下创建的RAM用户(可以对应企业内的员工、系统或应用程序)。RAM用户不拥有资源,没有独立的计量计费,这些用户由所属云账户统一控制和付费。RAM用户只有在获得云账户的授权后才能登录控制台或使用API操作云账户下的资源。

  • 身份凭证(Credential)
    用于证明用户真实身份的凭据,通常是指登录名和密码或访问密钥(AccessKey)。

    • 登录名和密码:用于登录阿里云控制台进行资源操作,以便查看订单、账单或购买资源。
    • 访问密钥:用于构造一个API请求(或者使用云服务SDK)并操作资源。
  • 角色(Role)
    是一种虚拟身份或影子账号,表示某种操作权限的虚拟概念,有独立的身份ID,但是没有独立的登录密码和 AccessKey。子账号可以扮演角色,扮演角色时拥有该角色自身的权限。

  • 资源(Resource)
    代表用户可访问的云资源,比如该用户所拥有的PolarDB-X计算资源DRDS实例,或者某个PolarDB-X计算资源DRDS实例下面的某个数据库等。

  • 权限(Permission)
    允许或拒绝一个用户对某种资源执行资源管控或者使用类操作。

  • 授权策略(Policy)
    用于定义权限规则,比如允许用户读取或者写入某些资源。

  • 角色扮演
    子账号和角色可以类比为某个人和其身份的关系。某人在公司的角色是员工,在家里的角色是父亲,在不同的场景扮演不同的角色,但是还是同一个人。在扮演不同的角色的时候也就拥有对应角色的权限。单独的员工或者父亲概念并不能作为一个操作的实体,只有有人扮演了之后才是一个完整的概念。同一个角色也可以被多个不同的个人同时扮演。完成角色扮演之后,就自动拥有该角色的所有权限。

更多关于RAM的基本概念,请参见基本概念

PolarDB-X中使用RAM的应用场景示例

假设某阿里云用户Alice拥有两个PolarDB-X计算资源DRDS实例,DRDS_a 和DRDS_b。Alice对这两个实例都拥有完全的权限。

  1. 为了避免阿里云账号的AccessKey泄露导致安全风险,Alice使用RAM创建了两个子账号Bob和Carol。
  2. Alice建立了两个授权策略,access_drds_a和access_drds_b,分别表示DRDS_a 和DRDS_b的读写权限。
  3. Alice在控制台上分别对Bob和Carol进行授权,使Bob对DRDS_a拥有读写权限,Carol对DRDS_b拥有读写权限。


Bob和Carol都拥有独立的AccessKey,这样万一泄露也只会影响其中一个PolarDB-X计算资源DRDS实例,而且Alice可以很方便的在控制台取消泄露用户的权限。

PolarDB-X中使用RAM的应用场景示意图

DRDS 权限控制.png