账号访问控制

本文介绍如何使用访问控制RAM(Resource Access Management)在账号级别上控制对云存储网关资源的访问,具体通过创建RAM用户(组)并授予特定权限策略实现。

背景信息

访问控制RAM是阿里云提供的资源访问控制服务,使用RAM还可以让您避免与其他用户共享云账号密钥(AccessKey),按需为用户分配最小权限,从而降低您的企业信息安全风险。更多详情,请参见什么是访问控制

  • 用户:如果您创建了多个云存储网关,您的组织里有多个用户需要使用这些网关,您可以创建一个策略允许部分用户使用这些网关。避免了将同一个AccessKey泄露给多人的风险。

  • 用户组:您可以创建多个用户组,并授予不同权限策略,起到批量管理的效果。

创建RAM用户

  1. 使用主账号登录 RAM访问控制台

  2. 在左侧导航栏中,选择身份管理 > 用户,单击创建用户

  3. 配置用户账号信息。

  4. 配置访问方式,勾选控制台访问OpenAPI调用访问

  5. 勾选自定义密码,输入一个初始密码,并勾选用户在下次登录时必须重置密码

  6. (可选)启动多因素认证设备,单击确定

  7. 保存生成的账号、密码、AccessKeyID和AccessKeySecret。

    说明

    请及时保存该 AccessKey 信息,并妥善保管。

创建用户组

如果您需要创建多个RAM用户,您可以选择通过创建用户组对职责相同的RAM用户进行分类并授权,从而更方便地管理用户及其权限。

  1. 使用主账号登录 RAM访问控制台

  2. 在左侧导航栏中,选择身份管理 > 用户组,单击创建用户组

  3. 填写用户组名称和显示名称,单击确定

为RAM用户/用户组分配授权策略

新建的RAM用户/用户组默认没有任何操作权限,只有在被授权策略之后,才能通过控制台和API操作资源。此处以RAM用户为例,介绍授权操作步骤。

  1. 用户页面,选择要授权的子账号,单击添加权限

  2. 添加权限页面,添加如下权限,为子账号授权。

    云上网关需添加如下4种权限,本地网关只需添加AliyunHCSSGWFullAccess和AliyunOSSFullAccess权限。

    • AliyunHCSSGWFullAccess:管理云存储网关服务(HCS-SGW)的权限

    • AliyunOSSFullAccess:管理对象存储服务(OSS)权限

    • AliyunVPCFullAccess:管理专有网络(VPC)的权限

    • AliyunECSFullAccess:管理云服务器服务(ECS)的权限

    image.png