本文介绍如何使用访问控制RAM(Resource Access Management)在账号级别上控制对云存储网关资源的访问,具体通过创建RAM用户(组)并授予特定权限策略实现。
背景信息
访问控制RAM是阿里云提供的资源访问控制服务,使用RAM还可以让您避免与其他用户共享云账号密钥(AccessKey),按需为用户分配最小权限,从而降低您的企业信息安全风险。更多详情,请参见什么是访问控制。
-
用户:如果您创建了多个云存储网关,您的组织里有多个用户需要使用这些网关,您可以创建一个策略允许部分用户使用这些网关。避免了将同一个AccessKey泄露给多人的风险。
-
用户组:您可以创建多个用户组,并授予不同权限策略,起到批量管理的效果。
创建RAM用户
-
使用主账号登录 RAM访问控制台。
-
在左侧导航栏中,选择,单击创建用户。
-
配置用户账号信息。
-
配置访问方式,选中控制台访问复选框或使用永久 AccessKey 访问复选框。
-
选择自定义密码,输入一个初始密码,并选择用户在下次登录时必须重置密码。
-
(可选)启动多因素认证设备,单击{op}。
-
保存生成的账号、密码、AccessKeyID和AccessKeySecret。
说明请及时保存该 AccessKey 信息,并妥善保管。
创建用户组
如果您需要创建多个RAM用户,您可以选择通过创建用户组对职责相同的RAM用户进行分类并授权,从而更方便地管理用户及其权限。
-
使用主账号登录 RAM访问控制台。
-
在左侧导航栏中,选择,单击创建用户组。
-
填写用户组名称和显示名称,单击{op}。
为RAM用户/用户组分配授权策略
新建的RAM用户/用户组默认没有任何操作权限,只有在被授权策略之后,才能通过控制台和API操作资源。此处以RAM用户为例,介绍授权操作步骤。
-
在用户页面,选择要授权的子账号,单击添加权限。
-
在 key 页面,添加如下权限,为子账号授权,单击 key 。
云上网关需添加如下4种权限,本地网关只需添加AliyunHCSSGWFullAccess和AliyunOSSFullAccess权限。
-
AliyunHCSSGWFullAccess:管理云存储网关服务(HCS-SGW)的权限
-
AliyunOSSFullAccess:管理对象存储服务(OSS)权限
-
AliyunVPCFullAccess:管理专有网络(VPC)的权限
-
AliyunECSFullAccess:管理云服务器服务(ECS)的权限
在新增授权页面,资源范围选择账号级别,在权限策略区域搜索并勾选所需的权限策略,然后单击确认新增授权。
-