阿里云账户和资源安全管理基石——RAM服务简介

RAM简介



什么是RAM？


RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过RAM，您可以集中管理您的用户（比如员工、系统或应用程序），以及控制用户可以访问您名下哪些资源的权限。

RAM要解决的问题


如果您购买了云资源，您的组织里有多个用户需要使用这些云资源。如果这些用户共享使用您的云账号密钥，那么存在两个问题：(1) 您的密钥由多人共享，泄露的风险很高；(2) 您无法限制用户的访问权限，容易出现误操作导致安全风险。RAM将帮助客户管理用户对资源的访问权限控制。

RAM解决问题的方法


RAM允许您在云账号下创建并管理多个用户。RAM用户是代表任意的通过控制台或OpenAPI操作阿里云资源的人、系统或应用程序。在您的云账户下，每个用户都有唯一的用户名、登录密码或访问密钥，这样您就不需要与他人共享密钥了。通过RAM，您还可以控制您的用户对基础设施云服务的访问权限，支持角色分离和最小特权的安全最佳实践。
云账户与RAM用户的关系

• 从归属关系上看，云账户与RAM用户是一种主子关系。云账户是阿里云资源归属、资源使用计量计费的基本主体。RAM用户只能存在于某个云账户下的RAM实例中。RAM用户不拥有资源，在被授权操作时所创建的资源归属于主账户；RAM用户不拥有账单，被授权操作时所发生的费用也计入主账户账单。
• 从权限角度看，云账户与RAM用户是一种root与user的关系（类比Linux系统）。Root对资源拥有一切操作控制权限，而user只能拥有被root所授予的某些权限，而且root在任何时刻都可以撤销user身上的权限。

• 集中控制RAM用户及其密钥 —— 您可以管理每个用户及其访问密钥，为用户绑定/解绑多因素认证设备
• 集中控制RAM用户的访问权限 —— 您可以控制每个用户可以访问您名下哪些资源的操作权限
• 集中控制RAM用户的资源访问方式 —— 您可以确保用户必须使用安全信道（如SSL）、在指定时间、以及在指定的网络环境下请求访问特定的云服务
• 集中控制云资源 —— 您可以对用户创建的实例或数据进行集中控制。当用户离开您的组织时，这些实例或数据不会丢失
• 统一账单 —— 您的账户将收到包括所有用户的资源操作所发生的费用的单一账单