支持RAM的云服务
本文为您介绍支持访问控制(RAM)的阿里云服务,并提供每个云服务支持的授权粒度、系统策略以及相关文档,方便您查询和使用。概览 本文的每个表格包含以下信息:云服务:支持RAM的云服务的名称。子服务/子模块:云服务下的子服务或子模块。...
支持STS的云服务
概览 本文的每个表格包含以下信息:云服务:支持STS的云服务的名称。子服务/子模块:云服务下的子服务或子模块。“-”表示暂无。RAM代码:云服务的RAM代码。控制台:当前云服务是否支持在控制台进行访问控制,“√”表示支持,“×”表示不...
支持服务关联角色的云服务
本文为您介绍支持RAM服务关联角色的阿里云服务,方便您查询和使用。云服务 云服务标识 服务关联角色 相关文档 资源管理 resourcemanager.aliyuncs.com AliyunServiceRoleForResourceDirectory 资源目录中的RAM角色 rmc.resourcemanager....
功能发布记录
2023-10 不涉及 支持RAM的云服务 支持STS的云服务 容器计算服务ACS已支持STS。2023-10 不涉及 支持STS的云服务 2023年08月 功能名称 功能描述 发布时间 发布地域 相关文档 支持RAM的云服务 专属大模型已支持RAM。2023-08 不涉及 支持RAM的...
为RAM用户授权
更多信息,请参见 支持RAM的云服务。自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见 创建自定义权限策略。说明 每次最多绑定5条策略,如需绑定更多策略,请分多次操作。...
如何限制RAM用户管理指定的ECS实例?
您可以为ECS实例绑定标签,然后创建自定义策略并为RAM用户授权,利用标签控制RAM用户对ECS实例的访问。该方式不能使用系统策略,只能在自定义策略中通过 条件(Condition)指定授权的标签,使用灵活,授权粒度细,但是,您需要掌握自定义...
RAM用户常见问题
支持RAM鉴权的云服务:支持RAM的云服务。支持资源组鉴权的云服务:支持资源组的云服务。支持标签鉴权的云服务:访问 标签控制台,在 资源类型能力项 页签下的 资源类型鉴权 列,显示 支持 的资源类型。受到资源目录管控策略的影响。如果被...
权限策略基本元素
更多信息,请参见 支持RAM的云服务 的 RAM代码 列。action-name:相关的API操作接口名称。Action元素的值在大部分情况下不区分大小写,但为了保持业务行为的一致性,请按照云服务提供的鉴权文档使用准确的操作前缀<ram-code>和操作名称。...
创建RAM用户并授权
更多信息,请参见 支持RAM的云服务。自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见 创建自定义权限策略。说明 每次最多绑定5条策略,如需绑定更多策略,请分多次操作。...
使用访问凭证访问阿里云OpenAPI最佳实践
容器实例角色扮演 前提条件 适用于 支持RAM的云服务。RRSA功能目前仅支持1.22及以上版本的集群,即 ACK集群基础版、ACK集群Pro版、ACK Serverless集群基础版 和 ACK Serverless集群Pro版。使用V2.0版本的阿里云SDK。自建网关类产品的自研...
基本概念
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会...
创建可信实体为阿里云服务的RAM角色
可信实体为阿里云服务的RAM角色主要用于解决跨云服务授权访问的问题。该RAM角色允许可信的阿里云服务扮演。服务角色分类 普通服务角色:您需要自定义角色名称,选择受信服务,并自定义权限策略。服务关联角色:您只需选择可信的云服务,...
对云上应用进行动态身份管理与授权
当企业购买阿里云服务后,应用程序通过访问控制(RAM)可以获取RAM角色的临时安全令牌,从而访问阿里云。背景信息 企业A购买了ECS实例,并计划在ECS实例中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(RAM)为RAM权限策略定义...
权限策略概览
RAM支持以下两种权限策略:阿里云管理的 系统策略:统一由阿里云创建,用户只能使用不能修改,策略的版本更新由阿里云维护。客户管理的 自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护。通过为RAM用户、用户组或...
集成概览
用户身份 用户身份 支持情况 阿里云账号 支持 RAM用户(推荐)支持 RAM角色(推荐)支持 推荐您使用 RAM用户 或 RAM角色,根据业务的实际情况按需分配权限后进行接口调用。接口风格 RPC 风格。调用方式支持情况 调用方式 支持情况 说明 ...
SSO方式的适用场景
阿里云目前支持两种SSO方式:角色SSO和用户SSO。...支持角色访问(即通过STS访问)的云产品请参见 支持STS的云服务。您的IdP不支持复杂的自定义属性配置。您没有上述需要使用角色SSO的业务需求,而又希望尽量简化IdP配置。
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(IMS)为RAM权限策略定义...
安全设置概览
U2F安全密钥的使用限制如下:U2F安全密钥只能在拥有USB接口的计算机上使用,不支持通过移动端浏览器或阿里云App登录阿里云时使用。如果您使用虚拟机或远程桌面连接,可能也无法使用。只有以下浏览器版本支持 Web Authentication协议,因此...
为RAM用户绑定MFA设备
背景信息 RAM用户支持的多因素认证方式及使用限制,请参见 多因素认证(MFA)。您需要先在 用户安全设置 中,启用对应的 多因素认证手段,然后按照本文所述的方法绑定对应的多因素认证设备,才能使多因素认证生效。系统默认启用虚拟MFA和U2...
为RAM用户绑定多因素认证设备
背景信息 RAM用户支持的多因素认证方式及使用限制,请参见 多因素认证(MFA)。您需要先在 用户安全设置 中,启用对应的 多因素认证手段,然后按照本文所述的方法绑定对应的多因素认证设备,才能使多因素认证生效。系统默认启用虚拟MFA和U2...
控制台用户和程序用户分离
治理建议 判断当前RAM用户(User1)有无访问控制台的需求。无:禁用控制台访问方式。具体操作,请参见 修改控制台登录设置。有:进行下一步操作。创建一个新的RAM用户(User2),启用控制台访问方式。具体操作,请参见 创建RAM用户 和 启用...
API概览
本产品(访问控制 身份管理/2019-08-15)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用...
API概览
本产品(访问控制/2015-05-01)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用需求,可通过...
RAM用户不能同时启用两个AccessKey
当RAM用户同时启用了两个AccessKey,建议您禁用其中闲置的AccessKey,或者将使用中的一个AccessKey腾挪到新的RAM用户下,确保一个RAM用户只启用一个AccessKey,降低AccessKey泄露风险。风险说明 一个RAM用户最多可以创建两个AccessKey,...
企业上云安全实践
背景信息 某些企业使用RAM初期,对RAM的优势不够了解,也对资源的安全管理要求不高。然而,当初创企业成长为大型企业或大型企业客户迁移上云后,组织结构更加复杂,对资源的安全管理需求也更加强烈,需要建立安全、完善的资源控制体系。...
跨阿里云账号的资源授权
企业B可以进一步将企业A的资源访问权限分配给企业B的RAM用户(员工或应用),并可以精细控制其员工或应用对资源的访问和操作权限。企业A希望如果双方合同终止,企业A随时可以撤销企业B的授权。解决方案 企业A需要授权企业B的员工对ECS进行...
RAM用户登录阿里云控制台
本文为您介绍RAM用户如何登录阿里云控制台,包括登录入口和操作步骤。登录入口 通用登录地址 直接访问 RAM用户登录 页面。在 阿里云账号登录 页面,单击 RAM用户。阿里云账号专属登录地址 阿里云账号登录 RAM控制台,在 概览 页的 账号信息...
扮演RAM角色
通过调用API扮演RAM角色 有权限的RAM用户可以使用其访问密钥(AccessKey)调用 AssumeRole-获取扮演角色的临时身份凭证 接口,以获取某个RAM角色的临时安全令牌(STS Token),从而使用STS Token访问阿里云。说明 如果您通过扮演角色获取的...
创建可信实体为阿里云账号的RAM角色
可信实体的RAM用户通过控制台或API扮演角色并获取角色的安全令牌(STS Token),然后以RAM角色身份访问对应的云资源。具体操作,请参见 扮演RAM角色。相关文档 CreateRole-创建角色 跨阿里云账号的资源授权 移动应用使用临时安全令牌访问...
为RAM用户组移除权限
警告 为RAM用户组移除权限后,该RAM用户组中的RAM用户将不能访问指定权限的资源,请务必确认操作是否符合预期。方式一:在RAM用户组页面移除RAM用户组权限 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>用户组。在 用户组 ...
跨云服务授权
您可以通过通用授权或精确授权两种方式完成授权操作:通用授权 阿里云账号下被授权的RAM用户可以对所有的云服务进行跨云服务授权。{"Statement":[{"Action":["ram:CreateRole","ram:AttachPolicyToRole"],"Effect":"Allow","Resource":["*...
不使用主账号AccessKey
在RAM控制台,创建RAM用户。具体操作,请参见 创建RAM用户。为RAM用户授予您程序或应用所需的访问权限。建议您遵循最小化授权原则为RAM用户授予恰好够用的权限。您可以创建自定义策略,进行精细化授权。如果您对自定义策略还不太了解,也...
通过RAM对RDS进行权限管理
本文介绍了通过RAM的权限管理功能,创建相应的权限策略,从而对云数据库(RDS)进行权限管理,以满足RAM用户操作RDS的多种需求。背景信息 使用RAM对RDS进行权限管理前,请先了解以下系统策略:AliyunRDSFullAccess:管理RDS的权限。...
移动应用使用临时安全令牌访问阿里云
本文介绍移动应用如何使用RAM角色的临时安全令牌(STS Token)访问阿里云资源。背景信息 企业A开发了一款移动应用(App),并购买了对象存储(OSS)服务。App需要直连OSS上传或下载数据,但是App运行在用户自己的移动设备上,这些设备不受...
通过操作审计查看RAM的操作事件
操作审计可以追踪并记录阿里云账号、RAM用户或RAM角色在RAM上的操作事件,本文为您介绍如何通过操作审计查看RAM的操作事件。背景信息 操作审计追踪并记录的RAM操作事件示例如下:IMS STS RAM用户登录事件 关于操作事件字段的含义,请参见 ...
服务关联角色
可信云服务可以通过RAM角色扮演的方式访问其他云服务的资源。...支持服务关联角色的云服务 支持服务关联角色的云服务,请参见 支持服务关联角色的云服务。不支持服务关联角色的云服务,请使用普通服务角色获取其他云服务的访问权限。
管理第三方应用授权
如果存在云产品的权限范围,第三方应用将会扮演用户身份访问阿里云资源。必选范围 由第三方应用设置必选的OAuth授权范围,必选范围为第三方应用必须要获取此类数据或权限,必选范围默认选中且不允许用户取消。如果用户不希望对应用授予该...
创建RAM用户组并授权
说明 支持可视化编辑模式的云服务以控制台界面显示为准。在 操作 区域,选择 全部操作 或 指定操作。系统会根据您上一步选择的云服务,自动筛选出可以配置的操作。如果您选择了 指定操作,您需要继续选择具体的操作。在 资源 区域,选择 ...
RAM用户组概览
RAM用户组是RAM的一种实体身份类型,RAM用户组可以对职责相同的RAM用户进行分类并授权,从而更高效地管理RAM用户及其权限。应用场景 在RAM用户职责发生变化时,只需将其移动到相应职责的RAM用户组下,不会对其他RAM用户产生影响。当RAM用户...
- 产品推荐
- 这些文档可能帮助您