RAM权限策略
本文详细描述了在线迁移服务如何同RAM协同工作,包括用户访问控制、操作级授权和资源级授权等核心功能。
RAM用户访问
RAM用户是RAM的一种实体身份类型,具有唯一的身份ID。RAM用户通常与某个特定的人或应用程序一一对应。当RAM用户使用其身份凭证访问迁移服务时,在线迁移服务会校验该用户对相关资源的访问权限。
身份凭证管理
身份凭证在创建RAM用户时设置,只能由管理员账号进行创建操作。不同访问方式需要不同的身份凭证:
控制台访问:需要登录名称和登录密码
OpenAPI调用:需要访问密钥AK(AccessKey)
为了提高RAM用户身份凭证的安全性,建议您:
定期更换RAM用户的密码
不要将AK信息明文写入工程代码
管理员账号是指阿里云账号(主账号)或者拥有管理员权限的RAM用户或RAM角色。
权限策略管理
RAM Policy语法和结构
RAM Policy包含版本号(Version)和授权语句(Statement),每条授权语句又包含授权效力(Effect)、操作(Action)、资源(Resource)以及限制条件(Condition,可选项)。有关权限策略的语法和结构的详情,请参见权限策略语法和结构。
RAM用户默认没有任何权限。创建完成后,您必须使用管理员账号为RAM用户授予权限策略才能使其拥有云资源访问或操作权限。
基于身份的权限策略分为两种类型:
系统权限策略:
AliyunOSSImportFullAccess:管理OSS在线迁移服务的权限
AliyunOSSImportReadOnlyAccess:只读管理OSS在线迁移服务的权限
自定义权限策略:
请参考 为RAM用户授予自定义的权限策略
操作文档
以下是RAM用户管理的关键操作步骤:
操作级别授权
在线迁移服务支持操作级别的授权,提供精细化的权限控制能力。
操作级别元素说明
在权限策略语法中,操作级别(Action)元素用于描述权限允许或拒绝的特定操作,相应的格式为 mgw:<action-name>。
迁移服务支持操作级的授权粒度,意味着您可以在权限策略中,为某一具体操作设置访问权限。这种精细化的权限控制有助于实现最小权限原则。
操作级授权通常用于使用自定义权限策略进行访问控制,适用于需要严格权限管理的企业环境。
操作级别可以分为任务级别操作、数据地址级别操作、代理级别操作以及通道级别操作。
任务级别操作
API | Action | 接口描述 |
CreateJob | mgw:CreateImportJob | 创建任务 |
GetJob | mgw:GetImportJob | 查询任务详情 |
ListJob | mgw:ListImportJob | 列举任务 |
UpdateJob | mgw:UpdateImportJob | 更新任务 |
GetJobResult | mgw:GetImportJobResult | 获取任务重试信息 |
ListJobHistory | mgw:ListImportJobHistory | 列举指定任务的历史记录 |
CreateReport | mgw:CreateImportReport | 创建迁移报告 |
GetReport | mgw:GetImportReport | 查询迁移报告 |
DeleteJob | mgw:DeleteImportJob | 删除任务 |
数据地址级别操作
API | Action | 接口描述 |
CreateAddress | mgw:CreateImportAddress | 创建数据地址 |
GetAddress | mgw:GetImportAddress | 查询数据地址详情 |
ListAddress | mgw:ListImportAddress | 列举数据地址 |
VerifyAddress | mgw:VerifyImportAddress | 校验数据地址 |
UpdateAddress | mgw:UpdateImportAddress | 更新数据地址 |
DeleteAddress | mgw:DeleteImportAddress | 删除数据地址 |
代理级别操作
API | Action | 接口描述 |
CreateAgent | mgw:CreateImportAgent | 创建代理 |
GetAgent | mgw:GetImportAgent | 查询代理详情 |
ListAgent | mgw:ListImportAgent | 列举代理 |
GetAgentStatus | mgw:GetImportAgent | 查询代理状态 |
VerifyAgentTunnel | mgw:VerifyAgentTunnel | 代理鉴权,校验代理合法性 |
DeleteAgent | mgw:DeleteImportAgent | 删除代理 |
通道级别操作
API | Action | 接口描述 |
CreateTunnel | mgw:CreateImportTunnel | 创建通道 |
GetTunnel | mgw:GetImportTunnel | 查询通道详情 |
ListTunnel | mgw:ListImportTunnel | 列举通道 |
UpdateTunnel | mgw:UpdateImportTunnel | 更新通道限流 |
DeleteTunnel | mgw:DeleteImportTunnel | 删除通道 |
资源级别授权
在线迁移服务支持资源级别的授权,允许对特定资源对象进行权限控制。
资源级别元素说明
在权限策略语法中,资源级别(Resource)元素用于描述权限允许或拒绝执行操作的一个或多个资源对象。资源是云服务呈现给用户与之交互的对象实体的一种抽象,包括:
通道(Tunnel)
代理(Agent)
数据地址(Address)
任务(Job)
Resource元素通过云服务定义的资源ARN(Aliyun Resource Name)来统一标识,具体格式为:
acs:mgw:<region>:<account-id>:<action-type>/<resource-name>
使用通配符(*)描述该操作应用于所有资源。
迁移服务支持资源级的授权粒度,意味着您可以在权限策略中指定某一具体资源对象的访问权限。资源级授权通常用于使用自定义权限策略进行访问控制。
Resource说明
在RAM中,Resource指代某个具体资源或者某些资源,支持通配符星号(*)。单个RAM Policy允许包含多个Resource。
分类 | 格式 | 示例 |
账号级别 |
|
|
任务级别 |
|
|
数据地址级别 |
|
|
代理级别 |
|
|
通道级别 |
|
|
region字段当前仅支持设置为通配符星号(*)