专有网络VPC如何与RAM协同工作

访问控制 RAM(Resource Access Management)是阿里云提供的一项服务,可以帮助您集中管理用户身份与资源访问权限。企业内有多名员工或应用程序需要访问专有网络 VPC(Virtual Private Cloud)的资源时,可以使用RAM服务做统一的权限管理,按需为他们分配不同的访问权限。在使用RAM管理阿里云产品的访问权限前,您需要了解云产品能与RAM的哪些功能结合使用,从而更好地设计满足业务需要的访问控制。本文介绍专有网络 VPC支持的RAM功能以及这些功能与RAM协同工作的原理。

概述

访问控制RAM使用权限来描述用户、用户组、角色对具体资源的访问能力,权限策略是一组访问权限的集合。RAM用户、用户组或RAM角色通过绑定权限策略,可以获得权限策略中指定的访问权限。

权限

云账号、RAM用户、资源创建者所拥有的权限说明如下:

  • 云账号(资源属主)控制所有权限。
    • 每个资源有且仅有一个资源属主,该资源属主必须是云账号,对资源拥有完全控制权限。
    • 资源属主不一定是资源创建者。例如:一个RAM用户被授予创建资源的权限,该用户创建的资源归属于云账号,该用户是资源创建者但不是资源属主。
  • RAM用户(操作员)默认无任何权限。
    • RAM用户代表的是操作员,其所有操作都需被云账号显式授权。
    • 新建的RAM用户默认没有任何操作权限,只有在被授权之后,才能通过控制台和RAM操作资源。
  • 资源创建者(RAM用户)默认对所创建资源没有任何权限。
    • RAM用户被授予创建资源的权限,用户将可以创建资源。
    • RAM用户默认对所创建资源没有任何权限,除非资源属主对RAM用户有显式的授权。

权限策略

权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。

RAM支持以下两种权限策略:

为RAM主体绑定权限策略

权限策略创建后,RAM用户、用户组或RAM角色需绑定权限策略,才能获得权限策略中指定的访问权限。

  • 支持为RAM用户、用户组或RAM角色绑定一个或多个权限策略。

  • 绑定的权限策略可以是系统策略也可以是自定义策略。

  • 如果绑定的权限策略被更新,更新后的权限策略自动生效,无需重新绑定权限策略。