资源访问管理(Resource Access Management,简称RAM)是一种用于管理和控制用户对云资源访问权限的服务。以下是RAM的一些关键功能和应用场景:
用户身份管理:
- RAM允许在一个云账户下创建并管理多个用户身份,并允许给单个身份或一组身份分配不同的授权策略,从而实现不同用户拥有不同的云资源访问权限。
资源访问控制:
- 通过RAM,资源所有者可以将指定资源共享给指定对象(包括组织、组织单元以及账号),资源所有者还可以随时更新或删除资源共享实例。
降低管理复杂度:
- 在一个账号中创建资源实例,并共享给其他账号使用,避免了在每个账号中重复创建和配置资源,降低资源管理的复杂度,减少运营开销。
提高管理安全性:
- RAM服务内置了不同资源类型的共享权限,资源使用者只能对资源进行权限内的访问,保证共享资源在满足资源使用者业务诉求的同时,提升资源管理的安全性。
组织级共享管理:
- 用户通过RAM服务将资源共享给指定的组织或者组织单元时,RAM服务能够根据组织或组织单元下账号的调整,自动赋予或收回相应账号的共享资源访问权限。
角色管理:
- RAM角色是一种虚拟用户,没有确定的身份认证密钥,需要被一个受信的实体用户扮演才能正常使用。角色可以与多种实体身份关联,比如可以与当前云账号下的RAM用户关联,与其它云账号下的RAM用户关联,与阿里云服务关联,与外部实体身份关联。
授权策略:
- RAM允许在云账号下创建并管理多个授权策略,每个授权策略本质上是一组权限的集合。管理员可以将一个或多个授权策略分配给RAM用户(包括RAM-User和RAM-Role)。
计费说明:
- RAM为免费服务,使用RAM服务的相关功能不收取任何费用。共享的资源自身的使用费用请参见各服务的计费说明。
访问方式:
- 通过管理控制台、基于HTTPS请求的API两种方式访问RAM。用户可以通过基于浏览器的可视化界面访问RAM,也可以通过API方式访问RAM,用于二次开发。
通过这些功能,RAM帮助企业实现更灵活、更安全的资源管理和访问控制,特别是在多用户协同操作资源的场景中。
