阿里云身份与权限

本文介绍您在访问阿里云资源前,需要了解的阿里云通用用户身份及对应的权限。

身份

阿里云将用户身份分为两种类型:实体用户身份和虚拟用户身份。

实体用户身份

实体用户身份指有确定的身份ID和身份凭证的身份,可以代表一个实际存在的对象,它通常与某个确定的人、企业或应用程序一一对应。身份凭证包括登录密码或访问密钥AK(AccessKey)。实体用户身份包括阿里云账号和访问控制RAM(Resource Access Management)服务中的RAM用户。通过实体用户身份访问云资源的方式包括:

  • 使用用户名和密码、多因素认证MFA(Multi-Factor Authentication)通过控制台访问云资源。

  • 使用AK通过程序访问云资源。

阿里云账号和RAM用户的特点不同。您在访问阿里云资源前,请仔细阅读以下内容。

阿里云账号

特点

  • 阿里云账号拥有云操作系统的root或admin权限。

  • 阿里云账号是其名下资源付费的主体,并对其名下所有资源拥有完全控制权限。

使用说明

为确保您的阿里云账号的安全,如非必要,您在访问云资源时避免使用阿里云账号。

建议您使用阿里云账号创建一个RAM用户,并为RAM用户授予管理员权限,后续使用有管理员权限的RAM用户创建并管理其他RAM用户。

RAM用户

特点

  • RAM用户必须在获得RAM管理员(或阿里云账号)的授权后才能登录控制台或使用API操作阿里云账号下的资源。

  • RAM用户不拥有资源,不能独立计量计费,由所属的阿里云账号统一控制和付费,只能在所属阿里云账号的空间下可见。

使用说明

一个RAM用户对应某一个操作实体,包括运维操作人员或应用程序。推荐您在访问并使用云资源时使用RAM用户。

说明

您也可以将职责相同的RAM用户进行分类并授权,组建RAM用户组,从而更高效地管理RAM用户。

虚拟用户身份

虚拟用户身份指没有确定的身份凭证(登录密码或AK)的身份。阿里云的虚拟用户身份是指RAM服务中的RAM角色。RAM角色需要被一个可以信任的实体用户扮演。实体用户扮演成功后将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用STS Token就能以RAM角色身份访问被授权的资源。

RAM角色支持的可信实体如下表。

可信实体

使用场景

相关文档

阿里云账号

主要用于解决跨账号访问和临时授权问题,仅允许可信阿里云账号下的RAM用户扮演。可信阿里云账号既可以是当前使用的阿里云账号,也可以是其他的阿里云账号。

创建可信实体为阿里云账号的RAM角色

阿里云服务

该角色主要用于解决跨云服务授权访问的问题,仅允许可信云服务扮演。

创建可信实体为阿里云服务的RAM角色

身份提供商

主要用于实现与阿里云的单点登录(SSO),仅允许可信身份提供商下的用户扮演。

创建可信实体为身份提供商的RAM角色

权限

权限是指不同用户身份对具体资源的访问能力,即在某种条件下允许或拒绝对某些资源执行某些操作。

实体用户身份权限

实体用户身份

默认权限

是否需要授权

授权说明

阿里云账号

拥有资源的所有权限

  • 阿里云账号有对其名下资源完全控制的权限。

  • 任何其他用户访问云资源都需要获得阿里云账号的授权。

RAM用户

无任何权限

新建的RAM用户只有在被授权之后,才能通过控制台和API访问并使用云资源。

阿里云是通过RAM服务为不同身份绑定权限策略的方式实现授权。权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。

RAM服务支持以下两种权限策略:

  • 阿里云管理的系统策略:统一由阿里云创建,用户只能使用不能修改,策略的版本更新由阿里云维护。

  • 用户管理的自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护。

您通过为RAM用户(或RAM用户组)绑定权限策略,可以使其获得权限策略中指定的访问权限。详情请参见为RAM用户授权(或为RAM用户组授权)。

虚拟用户身份权限

阿里云的虚拟用户身份RAM角色默认没有任何权限。

新建的RAM角色在指定可信实体后,只有在被授权之后,才能通过控制台和API访问并使用云资源。

您可以通过为RAM角色绑定权限策略,使其获得权限策略中指定的访问权限。详情请参见文档:为RAM角色授权

相关文档