AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

身份管理

更新时间:
复制为 MD 格式
产品详情
我的收藏

为确保您的阿里云账号及云资源使用安全,如非必要都应避免直接使用阿里云账号(即主账号)来访问E-HPC Instant计算服务。推荐的做法是使用RAM身份(即RAM用户和RAM角色)来访问E-HPC Instant计算服务。

RAM用户

RAM用户需要由阿里云账号(即主账号)或拥有管理员权限的RAM用户、RAM角色来创建,且必须在获得授权后才能登录控制台或使用API访问阿里云账号下的资源。

对于RAM用户的使用,建议您:

  • 使用阿里云账号创建一个RAM用户,并为RAM用户授予管理员权限,后续使用有管理员权限的RAM用户创建并管理其他RAM用户。

  • 将人员用户和程序用户分离。

    创建RAM用户时,支持设置控制台访问使用永久AccessKey访问两种访问方式。

    控制台用户使用账号和密码访问云产品控制台,API用户使用访问密钥AK(AccessKey)调用API访问云资源。建议您将两个不同的使用场景分离,避免误操作导致服务受到影响。对于通过控制台访问的用户,推荐为其开启MFA多因素认证。

  • 按需为RAM用户分配最小权限。

    最小权限是指授予用户执行某项任务所需的权限,不授予其他无需用到的权限。最小授权可以避免用户操作权限过大,提高数据安全性,减少因权限滥用导致的安全风险。

  • 不要把RAM用户的AccessKey IDAccessKey Secret保存在工程代码中,否则可能导致AK泄露,威胁您账号下所有资源的安全。建议您使用STS或环境变量等方式获取访问授权。

  • 满足条件时对RAM用户设置SSO单点登录功能,实现直接使用企业自有的身份登录并访问阿里云资源。

RAM用户相关操作

RAM用户组

当您的阿里云账号下有多个RAM用户时,可以通过创建用户组对职责相同的RAM用户进行分组管理和批量授权,高效地管理RAM用户及其权限。

对于RAM用户组的使用,建议您:

  • 在对RAM用户组授权时遵循最小权限策略原则。

  • RAM用户职责发生变化时将其从不再归属的用户组中移除,避免权限滥用。

  • 在某个用户组不再需要某些权限时移除用户组对应的权限。

RAM用户组相关操作

RAM角色

以下是使用RAM角色的安全建议:

  • 创建RAM角色后,请勿随意变更RAM角色的可信实体。修改RAM角色信任策略中的可信实体,可能会导致原受信对象权限缺失,影响业务正常运行。也可能会因增加受信对象,带来过度授权的风险。特殊情况必须修改时请务必在测试账号充分测试,确保功能正常使用后,再应用到正式生产账号。

  • 可信实体的RAM用户获得相关授权后即可以调用AssumeRole - 获取扮演角色的临时身份凭证接口获取RAM角色的STS Token。STS Token自颁发后将在一段时间内有效,建议您设置合理的Token有效期,避免有效期过长带来安全风险。

    说明

    STS Token有效期的最大值为角色的最大会话时间。从安全的角度考虑,应将角色最大会话时间也设置在合理范围。

  • 满足条件时对RAM角色设置SSO单点登录功能,实现直接使用企业自有的身份登录并访问阿里云资源。

RAM角色相关操作

最小权限策略示例

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ehpc:AddImage",
        "ehpc:CreateJob",
        "ehpc:CreateImageByExecutor",
        "ehpc:DeleteJobs",
        "ehpc:DeleteJobRecords",
        "ehpc:DescribeJobMetricData",
        "ehpc:DescribeJobMetricLast",
        "ehpc:DescribeJobResults",
        "ehpc:GetAppVersions",
        "ehpc:GetImage",
        "ehpc:GetJob",
        "ehpc:GetLoginUrlForExecutor",
        "ehpc:GetGlobalResourceLast",
        "ehpc:GetGlobalResourceStatistic",
        "ehpc:ListImages",
        "ehpc:ListJobExecutors",
        "ehpc:ListJobs",
        "ehpc:RemoveImage",
        "ehpc:SynchronizeApp",
        "ehpc:ListRegions",
        "ehpc:ListAvailableFileSystems"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeImages",
        "ecs:DescribeSecurityGroups",
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "vpc:DescribeEipAddresses"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "tag:ListTagKeys",
        "tag:ListTagValues"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "cms:QueryMetricList",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "oss:ListBuckets",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "ram:GetRole",
      "Resource": "*"
    }
  ]
}

身份管理相关文档

上一篇:使用RAM进行访问控制下一篇:基于身份的策略