访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务,能够帮助您安全集中地管理云资源的用户以及用户对云资源的使用和访问。VPN网关支持通过访问控制RAM服务,实现对产品资源的访问控制和管理。
概述
访问控制RAM使用权限来描述用户、用户组、角色对具体资源的访问能力,权限策略是一组访问权限的集合。RAM用户、用户组或RAM角色通过绑定权限策略,可以获得权限策略中指定的访问权限。
权限
云账号、RAM用户、资源创建者所拥有的权限说明如下:
- 云账号(资源属主)控制所有权限。
- 每个资源有且仅有一个资源属主,该资源属主必须是云账号,对资源拥有完全控制权限。
- 资源属主不一定是资源创建者。例如:一个RAM用户被授予创建资源的权限,该用户创建的资源归属于云账号,该用户是资源创建者但不是资源属主。
- RAM用户(操作员)默认无任何权限。
- RAM用户代表的是操作员,其所有操作都需被云账号显式授权。
- 新建的RAM用户默认没有任何操作权限,只有在被授权之后,才能通过控制台和RAM操作资源。
- 资源创建者(RAM用户)默认对所创建资源没有任何权限。
- RAM用户被授予创建资源的权限,用户将可以创建资源。
- RAM用户默认对所创建资源没有任何权限,除非资源属主对RAM用户有显式的授权。
权限策略
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。
RAM支持以下两种权限策略:
系统策略:统一由阿里云创建,您只能使用不能修改,策略的版本更新由阿里云维护。VPN网关的系统策略,请参见VPN网关系统权限策略参考。
自定义策略:如果系统策略不能满足您的要求,您可以创建自定义策略实现精细化的权限管理。如何创建自定义策略,请参见VPN网关自定义权限策略参考。
为RAM主体绑定权限策略
权限策略创建后,RAM用户、用户组或RAM角色需绑定权限策略,才能获得权限策略中指定的访问权限。
支持为RAM用户、用户组或RAM角色绑定一个或多个权限策略。
绑定的权限策略可以是系统策略也可以是自定义策略。
如果绑定的权限策略被更新,更新后的权限策略自动生效,无需重新绑定权限策略。
普通服务角色
VPN网关支持普通服务角色。
普通服务角色(Service Role)是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。使用VPN网关的特定功能时,会触发用户授权自动创建普通服务角色并为角色授予对应的资源访问权限。创建完成后,VPN网关即可扮演此服务角色,代表您访问其他云服务。
您也可以在RAM中手动创建、修改和删除普通服务角色,并修改普通服务角色的权限。修改角色或角色权限会对VPN网关提供的功能造成影响,请谨慎操作。VPN网关支持的普通服务角色,请参见下表:
服务角色名称 | 服务角色说明 | 服务角色策略 |
AliyunVpnAccessingIdaasRole | 第一次启用SSL-VPN双因子认证功能的过程中,您需要为VPN网关授权。在获得您的授权后,系统会自动创建AliyunVpnAccessingIdaasRole服务角色并为该服务角色授予IDaaS资源访问权限。VPN网关将使用该服务角色访问IDaaS的资源。 |
服务关联角色
服务关联角色是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。服务关联角色是与某个云服务关联的角色。多数情况下,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色,不需要您主动创建或删除。通过服务关联角色可以更好地配置云服务正常操作所必需的权限,避免误操作带来的风险。
服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。
使用VPN网关访问其他云资源时,VPN网关会在获得您的授权后,创建一个对应的服务关联角色,用于允许VPN网关访问其他云资源。VPN网关相关的服务关联角色说明如下:
服务关联角色会占用您的RAM角色配额。当RAM角色数量超限时,您仍然可以成功创建服务关联角色,但无法创建其他类型的角色。关于RAM角色支持的数量,请参见使用限制。
服务关联角色名称 | 服务关联角色说明 | 服务关联角色策略 |
AliyunServiceRoleForVpn | 第一次创建VPN网关实例时,系统会自动创建服务关联角色AliyunServiceRoleForVpn,该角色下包含名称为AliyunServiceRolePolicyForVpn的权限策略,此权限策略允许VPN网关访问其他云资源。 | |
AliyunServiceRoleForVPNCertificate | 您在第一次为国密型VPN网关绑定SSL证书时,系统将会自动创建一个名称为AliyunServiceRoleForVPNCertificate的服务关联角色,并且为该角色添加名称为AliyunServiceRolePolicyForVPNCertificate的权限策略,该权限会允许VPN网关访问其他云资源。 |