《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章(上):ECS 进阶概念-安全(2) https://developer.aliyun.com/article/1231561?groupCode=supportservice
3. RAM 访问控制策略
使用访问控制 RAM(Resource AccessManagement)在账号级别上控制对云服务器 ECS 资源的访问,具体通过创建 RAM 用户(组)并授予特定权限策略实现。
• 用户
如果用户购买了多台云服务器 ECS 实例,组织里有多个用户(如员工,系统或应用程序)需要使用这些实例,可以创建一个策略(权限策略分为系统策略和自定义策略),允许部分用户使用这些实例,避免了将同一个 AccessKey 泄露给多人的风险。
• 用户组
用户可以创建多个用户组,并授予不同权限策略,起到批量管理的效果。例如:加强网络安全控制,可以给某个用户组授权一个权限策略,该策略可以规定:如果用户的 IP 地址不是来自企业网络,则拒绝此类用户请求访问相关 ECS 资源。
• RAM 的功能特点
集中式身份管理:提供独立的用户身份管理(IdProvider)支持与其他身份
系统(eg.企业本地账号)打通以实现 SSO。
集中式权限管理:精细授权、自由控制。
统一访问控制:通过 RAM/STS 可以控制用户对任意云产品的访问。
集中记录用户行为:高清记录所有重要的资源操作。
统一账单:所有用户共享主账号的账单。
• RAM 权限管理
RAM 授权策略管理:支持系统策略和自定义策略,可以控制 RAM-User 或
RAM-Role 对所有云产品的权限。
STS 访问令牌管理:一种安全令牌颁发服务(为 RAM-Role 颁发临时访问令
牌),允许自定义策略来限制令牌的访问权限。
特色:精细控制与自由管理。
Ø 精细控制:自定义授权策略对指定的对象进行指定的 API 操作。
Ø 多重限制:使用源 IP 地址、访问时间等多重因素来限制访问权。
RAM-User:独立的身份管
Ø 实体身份(对应员工或系统 0
Ø 拥有独立的登录密码或 AK
Ø 支持多因素认证(MFA)
RAM-Role:与各种身份管理系统进行联合
Ø 虚拟身份
Ø 没有独立的登录密码和 AK
Ø 可以与外部实体身份联接
• RAM 自定义策略
权限指在某种条件下允许或拒绝对某些资源执行某些操作,权限策略是一组访问权限的集合。
下面是一个策略的结构:
自定义策略除了按上面提到的格式编写 json,目前也可以支持控制台可视化配置,如下:
《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章(上):ECS 进阶概念-安全(4) https://developer.aliyun.com/article/1231558?groupCode=supportservice
