在一个云账户内,RAM 授权指将一个或多个授权策略附加到 RAM 主体(用户、用户组或 RAM 角色)的过程。

背景介绍

  • 为用户授权:主要针对当前云账号下的 RAM 用户进行授权,RAM 用户可以访问相应资源。
  • 为用户组授权:主要针对当前云账号下的 RAM 用户组进行授权,会应用到用户组下所有 RAM 用户,便于对资源访问需求类似的用户进行统一授权和管理。
  • 为角色授权:主要针对更多复杂的云上应用场景,比如针对移动设备应用的临时授权、跨云账号的资源授权、云上应用的动态身份与授权管理、云服务之间的互操作授权等。

RAM 授权的前提条件

使用云账号(或拥有 RAM 操作权限的 RAM 用户)登录 RAM 控制台

为用户授权

  1. 登录 RAM 控制台,在人员管理菜单下,单击用户
  2. 通过用户登录名称/显示名称找到需要授权的用户,单击添加权限
  3. 从左侧权限策略名称列中勾选需要授予当前用户的权限策略,单击确定,完成给用户授权。
    说明 在右侧区域框,选择某条策略并单击 ×,可撤销该策略。

为用户组授权

  1. 登录 RAM 控制台,在人员管理菜单下,单击用户组
  2. 通过用户组名称/显示名称找到需要授权的用户组,单击添加权限
  3. 从左侧权限策略名称列中勾选需要授予当前用户组的权限策略,单击确定,完成给用户组授权。
    说明 在右侧区域框,选择某条策略并单击 ×,可撤销该策略。

为角色授权

新建角色时,可以选择可信实体为阿里云账号阿里云服务身份提供商,并指定相应的可信实体。

  • 对可信实体为当前云账号的角色授权,则当前云账号下的 RAM 用户可扮演角色并访问被授权的云资源。
  • 对可信实体为其他云账号的角色授权,则指定的其他云账号下的 RAM 用户可扮演角色并访问被授权的云资源。
  • 对可信实体为阿里云服务的角色授权,则受信的云服务可扮演角色并访问被授权的云资源。
  • 对可信实体为身份提供商的角色授权,则受信的身份提供商下的用户可扮演角色并访问被授权的云资源。
  1. 登录 RAM 控制台,单击 RAM 角色管理
  2. 通过 RAM 角色名称找到需要授权的角色,单击添加权限
  3. 从左侧权限策略名称列中勾选需要授予当前角色的权限策略,单击确定,完成给角色授权。
    说明 在右侧区域框,选择某条策略并单击 ×,可撤销该策略。