企业级客户在管理阿里云资源的过程中,可能会面临如下的场景:
企业A购买了多种云资源(如ECS实例/RDS实例/SLB实例/OSS存储桶/...),A的员工需要操作这些云资源,比如有的负责购买,有的负责运维,还有的负责线上应用。由于每个员工的工作职责不一样,需要的权限也不一样。出于安全或信任的考虑,A不希望将云账号密钥直接透露给员工,而希望能给员工创建相应的用户账号。用户账号只能在授权的前提下操作资源,不需要对用户账号进行独立的计量计费,所有开销都算在A的头上。当然,A随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。
A和B代表不同的企业。A购买了多种云资源(如ECS实例/RDS实例/SLB实例/OSS存储桶/...)来开展业务。A希望能专注于业务系统,而将云资源运维监控管理等任务委托或授权给企业B。当然,企业B可以进一步将代运维任务分配给B的员工。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止,A随时可以撤销对B的授权。
企业A开发了一款移动App,并购买了OSS服务。移动App需要上传数据到OSS(或从OSS下载数据),A不希望所有App都通过AppServer来进行数据中转,而希望让App能直连OSS上传/下载数据。由于移动App运行在用户自己的终端设备上,这些设备并不受A的控制。出于安全考虑,A不能将访问密钥保存到移动App中。A希望将安全风险控制到最小,比如,每个移动App直连OSS时都必须使用最小权限的访问令牌,而且访问时效也要很短(比如30分钟)。
通过访问控制服务(RAM)对不同角色的用户进行权限管理,从而满足如上不同场景对访问和使用权限的需求。
阿里云RAM的基本设计思路:允许在一个云账号下创建并管理多个用户身份,并允许给单个身份或一组身份分配不同的授权策略(Policy),从而实现不同用户拥有不同的云资源访问权限。
本实验中,涉及如下RAM相关术语:
-访问密钥(AccessKey) 您可以使用访问密钥构造一个API请求(或者使用云服务SDK)来操作资源。 -多因素认证 多因素认证(Multi-Factor Authentication, MFA)是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户登录阿里云网站时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自其MFA设备的可变验证码(第二安全要素)。这些多重要素结合起来将为您的账户提供更高的安全保护。
acs:<service-name>:<region>:<account-id>:<resource-relative-id> 说明: acs: 它是Aliyun Cloud Service的首字母缩写,表示阿里云的公有云平台 service-name: 阿里云提供的Open Service的名字,如ecs, oss, odps等 region: 地区信息。如果不支持该项,可以使用通配符“*”号来代替 account-id: 账号ID,比如 1234567890123456 resource-relative-id: 与service相关的资源描述部分,其语义由具体service指定。 以OSS为例,"acs:oss::1234567890123456:sample_bucket/file1.txt" 表示公有云平台OSS资源,OSS对象名称是sample_bucket/file1.txt,对象的Owner是1234567890123456。
|
|