写回答
身份认证,用户可以使用其云账号(即主账号)或其云账号下 RAM 用户的密码登录阿里云控制台并对其云上资源进行操作,或者使用阿里云的 Access Key(AK)通过 API 访问阿里云资源时对用户身份进行认证,也可以通过阿里云 Security Token Service(STS) 为 RAM 用户、阿里云服务、身份提供商等受信实体提供短期访问资源的权限凭证的云服务。颁发令牌时,管理员可以根据需要来定义令牌的权限和自动过期时间(默认为 1 小时过期)。此外,阿里云还支持 MFA 认证、SSO 认证、SSH 密钥对认证方式。
访问授权(RAM),阿里云为客户提供了多种工具和功能,用来帮助客户在各种情况下授权资源的使用权力。其中,阿里云为客户提供 Resource Access Management(RAM)资源访问控制服务,用于用户身份管理与资源访问控制。RAM 使得一个阿里云账号(主账号)可拥有多个独立的子用户(RAM 用户),从而避免与其他用户共享云账号密钥,并可以根据最小权限原则为不同用户分配最小的工作权限,从而降低用户的信息安全管理风险。RAM 授权策略可以细化到对某个 API-Action 和 Resource-ID 的细粒度授权,还可以支持多种限制条件(例如,源IP 地址、安全访问通道 SSL/TLS、访问时间、多因素认证等)。
以上内容摘自《云上自动化运维(CloudOps)白皮书》电子书,点击https://developer.aliyun.com/topic/download?id=8190可下载完整版
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
