IMS-身份管理
|
功能集 |
功能 |
功能描述 |
参考文档 |
|
RAM用户管理 |
创建RAM用户 |
为阿里云账号(主账号)创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。 |
创建RAM用户 |
|
修改RAM用户基本信息 |
修改RAM用户基本信息,包括用户名和显示名称等信息。 |
修改RAM用户基本信息 | |
|
管理RAM用户登录设置 |
为RAM用户启用控制台登录,查看、修改或清空控制台登录设置。 |
管理RAM用户登录设置 | |
|
管理RAM用户的MFA |
多因素认证MFA(Multi Factor Authentication)是一种简单有效的安全实践,在用户名和密码之外再增加一层安全保护,用于登录控制台或进行敏感操作时的二次身份验证(不影响通过AccessKey的API调用),以此保护您的账号更安全。 |
||
|
管理RAM用户的标签 |
为RAM用户绑定标签,便于基于标签的RAM用户管理。 |
为RAM用户绑定标签 | |
|
AccessKey管理 |
创建AccessKey |
为RAM用户或阿里云账号(主账号)创建AccessKey。访问密钥AccessKey(简称AK)是阿里云提供给用户的永久访问凭据,一组由AccessKey ID和AccessKey Secret组成的密钥对。 |
创建AccessKey |
|
删除AccessKey |
当RAM用户不再需要通过API或其他开发工具访问阿里云资源时,可以删除该RAM用户的访问密钥(AccessKey)。 |
删除RAM用户的AccessKey | |
|
禁用AccessKey |
当RAM用户权限发生变化或不再需要通过API访问阿里云资源时,可以禁用该RAM用户的访问密钥(AccessKey)。 |
禁用RAM用户的AccessKey | |
|
RAM用户组管理 |
创建RAM用户组 |
如果阿里云账号(主账号)下有多个RAM用户,可以通过创建RAM用户组对职责相同的RAM用户进行分类并授权,从而更好地管理RAM用户及其权限。 |
创建RAM用户组 |
|
删除RAM用户组 |
当不再需要某个RAM用户组时,可以删除该RAM用户组。 |
删除RAM用户组 | |
|
管理RAM用户组 |
为RAM用户组添加、移除RAM用户,查看、修改RAM用户组基本信息,为RAM用户组进行授权、查看权限、移除权限。 |
||
|
全局设置 |
设置RAM用户密码规则 |
为了保护账号安全,可以编辑密码规则,包括密码长度、密码有效期和历史密码检查策略等。 |
设置RAM用户的密码强度规则 |
|
管理RAM用户安全设置 |
通过修改RAM用户安全设置,提升RAM用户的账号安全性。RAM用户安全设置为全局设置,设置的规则适用所有RAM用户。 |
管理RAM用户安全设置 | |
|
管理域名 |
每个阿里云账号都有一个默认域名,RAM用户登录控制台时可以使用该默认域名作为登录用户名的后缀。您可以对默认域名进行查看、修改等操作。 |
查看和修改默认域名 | |
|
身份集成 |
用户SSO单点登录 |
支持阿里云与企业身份提供商IdP(Identity Provider)进行用户SSO,使用企业IdP中的账号登录阿里云。 |
用户SSO概览 |
|
角色SSO单点登录 |
支持阿里云与企业身份提供商IdP(Identity Provider)进行角色SSO,使用企业IdP中的账号登录阿里云。 |
||
|
SCIM用户同步 |
企业上云的过程中,为减少维护和管理成本,需要基于一套原则将企业内部系统中已有的账号同步到云上。阿里云可以通过SCIM协议将企业内部账号同步到RAM。 |
通过SCIM协议将企业内部账号同步到阿里云RAM | |
|
身份审计 |
身份权限治理报告 |
为您提供身份权限治理检测报告,以帮助您及时发现治理缺失,完善云上身份权限治理的配置。 |
获取身份权限治理检测报告 |
|
用户凭证报告 |
为您提供用户凭证报告,报告中包含阿里云账号和RAM用户的登录凭证信息,您可以使用该报告进行合规性审计。 |
获取用户凭证报告 | |
|
控制台登录 |
RAM用户登录控制台 |
RAM用户登录阿里云控制台。 |
RAM用户登录阿里云控制台 |
|
MFA认证 |
如果开启了多因素认证(MFA),则需要输入虚拟MFA设备生成的验证码,或通过U2F安全密钥认证。 |
||
|
钉钉扫码登录 |
为RAM用户绑定钉钉账号后,RAM用户可以使用该钉钉账号登录阿里云。 |
||
|
钉钉小程序免登 |
支持自动登录钉钉小程序。 |
在钉钉移动端一键登录阿里云 | |
|
OAuth应用管理 |
创建应用 |
通过OAuth来创建Web应用、Native应用或Server应用,从而获取用户信息或访问阿里云API。 |
创建应用 |
|
管理应用密钥 |
如果应用需要访问阿里云API,需要创建应用密钥用作换取访问令牌时鉴定应用身份的密码。 |
创建应用密钥 | |
|
管理应用授权 |
当用户(阿里云账号或RAM用户)首次访问第三方应用时,需要完成第三方应用的授权。 |
管理第三方应用授权 | |
|
删除应用 |
如果不再需要使用应用获取用户信息或访问阿里云API,可以删除应用。删除应用后,企业用户将不能正常登录。 |
删除应用 | |
|
查询应用基本信息 |
查看应用基本信息,包括应用名称、显示名称和应用类型等信息。 |
查看应用基本信息 |
云SSO
|
功能集 |
功能 |
功能描述 |
参考文档 |
|
目录管理 |
创建目录 |
目录是SSO的实例,使用云SSO必须先创建一个目录,所有云SSO资源都必须在目录中维护。 |
创建目录 |
|
查看目录 |
创建目录后,在云SSO控制台即可查看目录。 |
||
|
修改目录名称 |
您可以修改目录名称,但目录名称必须全局唯一。 |
修改目录名称 | |
|
删除目录 |
当您不需要目录时,可以删除该目录。 |
删除目录 | |
|
用户管理 |
创建用户 |
创建云SSO用户。 |
创建用户 |
|
查看用户信息 |
查看云SSO用户信息。 |
查看用户信息 | |
|
修改用户信息 |
修改云SSO用户基本信息。 |
修改用户基本信息 | |
|
删除用户 |
删除云SSO用户。 |
删除用户 | |
|
用户组管理 |
创建用户组 |
创建用户组。 |
创建用户组 |
|
查看用户组信息 |
查看用户组信息。 |
查看用户组信息 | |
|
修改用户组信息 |
修改用户组基本信息。 |
修改用户组基本信息 | |
|
管理用户组成员 |
为用户组添加、移除用户。 |
||
|
查看用户组成员 |
查看用户组中的用户。 |
查看用户组信息 | |
|
访问配置管理 |
创建访问配置 |
在云SSO中创建访问配置。访问配置是云SSO用户用来访问RD账号的配置模板,其中包含权限配置。 |
创建访问配置 |
|
查看访问配置 |
查看访问配置的信息,包括访问配置基本信息、系统策略、内置策略和已部署的RD账号。 |
查看访问配置 | |
|
修改访问配置信息 |
修改访问配置基本信息,包括会话持续时间、初始访问页面和描述。 |
修改访问配置基本信息 | |
|
删除访问配置 |
在云SSO中删除访问配置。 |
删除访问配置 | |
|
管理访问配置权限策略 |
管理系统策略和内置策略。 |
管理系统策略和内置策略 | |
|
部署访问配置 |
如果访问配置已经部署在RD账号中,当访问配置发生了变更,这些变更不会自动更新到对应的RD账号中,需要您手动重新部署才能使其生效。您也可以主动解除访问配置在一个RD账号中的部署。 |
||
|
多账号授权 |
在RD账号上授权 |
根据RD目录结构,您可以为每个RD账号设置允许访问的用户或用户组,以及他们的访问权限(访问配置)。 |
在RD账号上授权 |
|
查看RD账号的授权信息 |
查看RD账号的授权信息,包括RD账号基本信息、关联的用户或用户组、部署的访问配置、配置的RAM用户同步信息。 |
查看RD账号的授权信息 | |
|
修改RD账号的授权 |
针对已有的RD账号授权,可以重新指定用户、用户组和访问配置。 |
修改RD账号的授权 | |
|
移除RD账号的授权 |
移除用户或用户组在RD账号上的授权。 |
移除RD账号的授权 | |
|
RAM用户同步 |
配置RAM用户同步 |
配置RAM用户同步,在目标RD账号中同步创建一个与云SSO用户同名的RAM用户,然后通过该RAM用户访问该RD账号中的资源。 |
配置RAM用户同步 |
|
查看RAM用户同步详情 |
查看RAM用户同步详情,包含RAM用户同步基本信息和同步进展。 |
查看RAM用户同步详情 | |
|
修改RAM用户同步 |
根据需要,修改RAM用户同步的描述、冲突策略和删除策略。 |
修改RAM用户同步 | |
|
删除RAM用户同步 |
对于不需要的RAM用户同步,可以将其删除。 |
删除RAM用户同步 | |
|
查看RAM用户同步事件 |
查看执行失败的RAM用户同步事件。 |
查看RAM用户同步事件 | |
|
RAM用户同步全局设置 |
全局设置RAM用户同步配置。 |
||
|
用户登录设置 |
管理MFA |
多因素认证MFA是一种简单有效的最佳安全实践,在用户名和密码之外再额外增加一层安全保护,用于登录控制台时的二次身份验证,以此保护您的账号更安全。 |
管理MFA |
|
设置密码策略 |
为了保护云SSO用户的账号安全,您可以设置密码策略,包括密码长度、密码有效期和密码重试次数等。 |
设置密码策略 | |
|
设置登录方式 |
设置云SSO用户的登录方式,包括用户名密码登录和单点登录(SSO登录)。 |
设置登录方式 | |
|
管理单点登录 |
通过单点登录(SSO登录),企业员工可以使用IdP中的用户身份直接登录云SSO。 |
管理单点登录 | |
|
管理SCIM同步 |
您可以从支持SCIM 2.0的外部IdP同步用户或用户组到云SSO。 |
启用或禁用SCIM同步 | |
|
管理SCIM用户同步密钥 |
SCIM同步过程中需要使用SCIM密钥。您可以创建、禁用、启用、删除和轮转SCIM密钥。 |
管理SCIM密钥 | |
|
SCIM用户同步设置 |
启用或禁用SCIM用户同步 |
您可以从支持SCIM2.0的外部IdP同步用户或用户组到云SSO。云SSO可以启用SCIM同步、获取SCIM服务端地址、禁用SCIM同步。 |
启用或禁用SCIM同步 |
|
管理SCIM同步密钥 |
SCIM同步过程中需要使用SCIM密钥。您可以创建、禁用、启用、删除和轮转SCIM密钥。 |
管理SCIM密钥 | |
|
委派管理账号 |
指定委派管理账号 |
添加和启用云SSO委派管理员账号后,云SSO委派管理员账号将获得云SSO管理员的授权,可以管理云SSO。 |
添加和启用委派管理员账号 |
|
撤销委派管理账号 |
禁用或移除云SSO委派管理员账号后,将不能通过该账号管理云SSO。 |
禁用或移除委派管理员账号 | |
|
程序访问 |
CLI访问 |
云SSO已与阿里云CLI进行了集成。用户除了使用浏览器登录云SSO用户门户,也可以通过阿里云CLI登录。登录后,选择对应RD账号和权限,通过CLI命令行访问阿里云资源。 |
使用CLI登录云SSO并访问阿里云资源 |
|
获取程序访问凭证 |
云SSO用户可以使用程序访问临时凭证(STS Token)通过阿里云CLI或SDK访问RD账号中的资源。 |
获取云SSO用户的程序访问临时凭证 | |
|
用户登录 |
登录到RAM角色 |
对于支持RAM角色的云服务,且在云SSO中通过访问配置设置了访问权限,就可以通过RAM角色访问RD账号资源。 |
登录云SSO用户门户并访问阿里云资源 |
|
登录到RAM用户 |
对于不支持RAM角色的云服务,且在云SSO中配置了RAM用户同步,就可以通过RAM用户访问RD账号资源。 |
登录云SSO用户门户并访问阿里云资源 |
RAM-权限管理
|
功能集 |
功能 |
功能描述 |
参考文档 |
|
权限策略管理 |
创建权限策略 |
您可以创建自定义权限策略,实现精细化权限管理。 |
创建自定义权限策略 |
|
查询权限策略 |
您可以查看权限策略的基本信息,包括权限策略名称、备注和策略类型等。 |
查看权限策略基本信息 | |
|
编辑权限策略 |
您可以根据需要修改自定义权限策略内容和备注,不能修改权限策略名称。 |
修改自定义权限策略内容和备注 | |
|
删除权限策略 |
当权限发生变化或不再需要某个自定义权限策略时,您可以删除自定义权限策略。 |
删除自定义权限策略 | |
|
授权管理 |
添加RAM身份权限 |
为RAM身份授予RAM的系统策略或自定义策略后,RAM身份就能以策略中对应的权限访问阿里云资源。建议您遵循最小化原则,按需授予RAM身份必要的权限。 |
|
|
查看RAM身份的权限 |
您可以查看RAM身份的权限策略,RAM身份包含RAM用户、RAM用户组、RAM角色。 |
||
|
移除RAM身份权限 |
当RAM身份不再需要某些权限或离开组织时,可以将这些权限移除。 |
||
|
权限报错与诊断 |
无权限诊断 |
您可以从因无RAM权限导致的请求被拒绝访问的响应体中解码无权限诊断信息。 |
|
|
权限审计 |
查询RAM身份的权限访问信息 |
权限审计功能可以帮助您识别RAM身份所拥有的权限,以及权限的最近访问时间。 |
权限审计概览 |
RAM-角色管理
|
功能集 |
功能 |
功能描述 |
参考文档 |
|
RAM角色管理 |
创建RAM角色 |
支持创建可信实体为阿里云账号、阿里云服务、身份提供商的RAM角色。 |
创建RAM角色 |
|
查询RAM角色 |
查看RAM角色基本信息,包括角色基本信息、角色的权限策略和角色的信任策略。 |
查看RAM角色 | |
|
修改RAM角色 |
通过修改RAM角色的信任策略内容,可以修改RAM角色的可信实体。 |
修改RAM角色的信任策略 | |
|
删除RAM角色 |
当您不再需要某个RAM角色时,可以删除该RAM角色。 |
删除RAM角色 | |
|
RAM角色使用 |
扮演角色 |
通过控制台和API扮演可信实体为阿里云账号的RAM角色。 |