全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
云服务器 ECS

什么是实例 RAM 角色

更新时间:2017-12-04 11:58:50

ECS 实例 RAM(Resource Access Management) 角色(以下简称 实例 RAM 角色)是 RAM 角色的一种,它让 ECS 实例扮演具有某些权限的角色,从而赋予实例一定的访问权限。

实例 RAM 角色允许您将一个 RAM 角色 关联到 ECS 实例,在实例内部基于 STS (Security Token Service)临时凭证(临时凭证将周期性更新)访问其他云产品的 API。这样,一方面可以保证 Access Key 安全,另一方面也可以借助 RAM 实现权限的精细化控制和管理。

设计背景

一般情况下,ECS 实例的应用程序是通过 用户账号 或者 访问控制(RAM) 用户账号 的 Access Key (AccessKeyId + AccessKeySecret)访问阿里云各产品的 API。

为了满足调用需求,需要直接把 Access Key 固化在实例中,如写在配置文件中。但是这种方式存在权限过大、泄露信息和难以维护等问题。因此,我们设计了实例 RAM 角色解决这些问题。

功能优势

使用实例 RAM 角色,您可以:

  • 借助实例 RAM 角色,将 RAM 角色 和 ECS 实例关联起来。

  • 安全地在 ECS 实例中使用 STS 临时凭证访问阿里云的其他云服务,如 OSS、ECS、RDS 等。

  • 为不同的实例赋予包含不同授权策略的角色,使它们对不同的云资源具有不同的访问权限,实现更精细粒度的权限控制。

  • 无需自行在实例中保存 Access Key,通过修改角色的授权即可变更权限,快捷地维护 ECS 实例所拥有的访问权限。

费用详情

云服务器 ECS 不对实例 RAM 角色收取额外的费用。

使用限制

使用实例 RAM 角色存在如下限制:

  • 只有专有网络 (VPC) 网络类型的实例才能使用实例角色。

  • 一个 ECS 实例一次只能授予一个实例 RAM 角色。

使用实例 RAM 角色

目前有两种使用 RAM 角色的方式:

参考链接

本文导读目录