• 关于

    多用户权限

    的搜索结果

问题

Cassandra中的用户角色权限数据模型怎么设计?

养狐狸的猫 2019-12-01 19:56:26 7 浏览量 回答数 0

回答

既然是多用户,那么用户数据应该是分开的,要不就体现不了多用户的机制体系了,用户下的数据应该是私有的,除非用户提供共享并且系统支持共享才可以。对于Android,即Linux系统来说,一个用户即一个文件目录,用户目录之间的互访是受权限控制的,在没有指定权限的情况下,用户间是不能有互相控制的能力的,除非用户获取了系统权限,即我们常说的root权限。在系统内存储,如果获取了root权限,把文件写到系统目录下会是一种方式,root权限不容易获取并存在安全隐患,不推荐这么做。可以绕个思路,内存储不行但还有外置存储(如SD卡),这个是多用户公用的,可以把相关数据放在外置存储器上,达到共享的目的。可以做个参考。

蛮大人123 2019-12-02 02:06:18 0 浏览量 回答数 0

问题

云数据库 OceanBase的用户及权限管理

云栖大讲堂 2019-12-01 21:28:49 1265 浏览量 回答数 0

阿里云试用中心,为您提供0门槛上云实践机会!

0元试用32+款产品,最高免费12个月!拨打95187-1,咨询专业上云建议!

问题

关于在Linux中多用户对同一个目录享有不同权限的问题

a123456678 2019-12-01 20:07:15 836 浏览量 回答数 1

问题

关于在Linux中多用户对同一个目录享有不同权限的问题

我的中国 2019-12-01 19:28:55 1022 浏览量 回答数 1

回答

权限组介绍 在文件存储 NAS 中,权限组是一个白名单机制,通过向权限组添加规则,来允许指定的 IP 或网段访问文件系统,并可以给不同的IP或网段授予不同级别的访问权限。 初始情况下,每个账号都会自动生成一个 VPC 默认权限组,该默认权限组允许 VPC 内的任何 IP 以最高权限(读写且不限制 root 用户)访问挂载点。 经典网络类型挂载点不提供默认权限组,且经典网络类型权限组规则授权地址只能是单个 IP 而不能是网段。 注意: 为了最大限度保障您的数据安全,强烈建议您谨慎添加权限组规则,仅为必要的地址授权。 创建权限组 如下图,在控制台上,单击右侧导航栏的 权限组 标签,然后单击右上角的 新建权限组,填入权限组名称即可创建一个新的权限组。 注意:一个阿里云账号最多可以创建 10 个权限组。 添加权限组规则 在权限组列表上单击 管理规则 进入权限组规则列表,您可以在这里添加或管理规则。 一条权限组规则包含四个属性,分别是: 属性 取值 含义 授权地址 单个 IP 地址或网段(经典网络类型只支持单个 IP) 本条规则的授权对象。 读写权限 只读、读写 允许授权对象对文件系统进行只读操作或读写操作。 用户权限 不限制 root 用户、限制 root 用户、限制所有用户 是否限制授权对象的 Linux 系统用户对文件系统的权限:在判断文件或目录访问权限时,限制 root 用户将把 root 用户视为 nobody 处理,限制所有用户将把包括 root 在内的所有用户都视为 nobody。 优先级 1-100,1 为最高优先级 当同一个授权对象匹配到多条规则时,高优先级规则将覆盖低优先级规则。

qq78315851 2019-12-01 23:58:49 0 浏览量 回答数 0

问题

如何使用权限组进行访问控制

云栖大讲堂 2019-12-01 22:10:24 1226 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。如果这些用户共享使用您的云账号密钥,那么存在以下问题: 您的密钥由多人共享,泄密风险高; 您无法限制用户的访问权限,容易出现误操作导致安全风险。 访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强网络安全控制,您可以给某个群组附加一个授权策略,该策略规定:如果用户的原始 IP 地址不是来自企业网络,则拒绝此类用户请求访问您名下的 ECS 资源。 您可以给不同群组设置不同权限,例如: SysAdmins:该群组需要创建和管理 ECS 镜像、实例、快照、安全组等权限。您给 SysAdmins 组附加了一个授权策略,该策略授予组成员执行所有 ECS 操作的权限。 Developers:该群组只需要使用实例的权限。您可以给 Developers 组附加一个授权策略,该策略授予组成员调用 DescribeInstances、StartInstance、StopInstance、CreateInstance 和 DeleteInstance 的权限。 如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以方便的将其从 Developpers 群组移到 SysAdmins 群组。 更多关于访问控制 RAM的介绍,请参考 RAM 的产品文档。

2019-12-01 22:57:14 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。如果这些用户共享使用您的云账号密钥,那么存在以下问题: 您的密钥由多人共享,泄密风险高; 您无法限制用户的访问权限,容易出现误操作导致安全风险。 访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强网络安全控制,您可以给某个群组附加一个授权策略,该策略规定:如果用户的原始 IP 地址不是来自企业网络,则拒绝此类用户请求访问您名下的 ECS 资源。 您可以给不同群组设置不同权限,例如: SysAdmins:该群组需要创建和管理 ECS 镜像、实例、快照、安全组等权限。您给 SysAdmins 组附加了一个授权策略,该策略授予组成员执行所有 ECS 操作的权限。 Developers:该群组只需要使用实例的权限。您可以给 Developers 组附加一个授权策略,该策略授予组成员调用 DescribeInstances、StartInstance、StopInstance、CreateInstance 和 DeleteInstance 的权限。 如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以方便的将其从 Developpers 群组移到 SysAdmins 群组。 更多关于访问控制 RAM的介绍,请参考 RAM 的产品文档。

2019-12-01 22:57:14 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。如果这些用户共享使用您的云账号密钥,那么存在以下问题: 您的密钥由多人共享,泄密风险高; 您无法限制用户的访问权限,容易出现误操作导致安全风险。 访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强网络安全控制,您可以给某个群组附加一个授权策略,该策略规定:如果用户的原始 IP 地址不是来自企业网络,则拒绝此类用户请求访问您名下的 ECS 资源。 您可以给不同群组设置不同权限,例如: SysAdmins:该群组需要创建和管理 ECS 镜像、实例、快照、安全组等权限。您给 SysAdmins 组附加了一个授权策略,该策略授予组成员执行所有 ECS 操作的权限。 Developers:该群组只需要使用实例的权限。您可以给 Developers 组附加一个授权策略,该策略授予组成员调用 DescribeInstances、StartInstance、StopInstance、CreateInstance 和 DeleteInstance 的权限。 如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以方便的将其从 Developpers 群组移到 SysAdmins 群组。 更多关于访问控制 RAM的介绍,请参考 RAM 的产品文档。

2019-12-01 22:57:14 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。如果这些用户共享使用您的云账号密钥,那么存在以下问题: 您的密钥由多人共享,泄密风险高; 您无法限制用户的访问权限,容易出现误操作导致安全风险。 访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强网络安全控制,您可以给某个群组附加一个授权策略,该策略规定:如果用户的原始 IP 地址不是来自企业网络,则拒绝此类用户请求访问您名下的 ECS 资源。 您可以给不同群组设置不同权限,例如: SysAdmins:该群组需要创建和管理 ECS 镜像、实例、快照、安全组等权限。您给 SysAdmins 组附加了一个授权策略,该策略授予组成员执行所有 ECS 操作的权限。 Developers:该群组只需要使用实例的权限。您可以给 Developers 组附加一个授权策略,该策略授予组成员调用 DescribeInstances、StartInstance、StopInstance、CreateInstance 和 DeleteInstance 的权限。 如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以方便的将其从 Developpers 群组移到 SysAdmins 群组。 更多关于访问控制 RAM的介绍,请参考 RAM 的产品文档。

2019-12-01 22:57:13 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。如果这些用户共享使用您的云账号密钥,那么存在以下问题: 您的密钥由多人共享,泄密风险高; 您无法限制用户的访问权限,容易出现误操作导致安全风险。 访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强网络安全控制,您可以给某个群组附加一个授权策略,该策略规定:如果用户的原始 IP 地址不是来自企业网络,则拒绝此类用户请求访问您名下的 ECS 资源。 您可以给不同群组设置不同权限,例如: SysAdmins:该群组需要创建和管理 ECS 镜像、实例、快照、安全组等权限。您给 SysAdmins 组附加了一个授权策略,该策略授予组成员执行所有 ECS 操作的权限。 Developers:该群组只需要使用实例的权限。您可以给 Developers 组附加一个授权策略,该策略授予组成员调用 DescribeInstances、StartInstance、StopInstance、CreateInstance 和 DeleteInstance 的权限。 如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以方便的将其从 Developpers 群组移到 SysAdmins 群组。 更多关于访问控制 RAM的介绍,请参考 RAM 的产品文档。

2019-12-01 22:57:14 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。如果这些用户共享使用您的云账号密钥,那么存在以下问题: 您的密钥由多人共享,泄密风险高; 您无法限制用户的访问权限,容易出现误操作导致安全风险。 访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强网络安全控制,您可以给某个群组附加一个授权策略,该策略规定:如果用户的原始 IP 地址不是来自企业网络,则拒绝此类用户请求访问您名下的 ECS 资源。 您可以给不同群组设置不同权限,例如: SysAdmins:该群组需要创建和管理 ECS 镜像、实例、快照、安全组等权限。您给 SysAdmins 组附加了一个授权策略,该策略授予组成员执行所有 ECS 操作的权限。 Developers:该群组只需要使用实例的权限。您可以给 Developers 组附加一个授权策略,该策略授予组成员调用 DescribeInstances、StartInstance、StopInstance、CreateInstance 和 DeleteInstance 的权限。 如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以方便的将其从 Developpers 群组移到 SysAdmins 群组。 更多关于访问控制 RAM的介绍,请参考 RAM 的产品文档。

2019-12-01 22:57:14 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。如果这些用户共享使用您的云账号密钥,那么存在以下问题: 您的密钥由多人共享,泄密风险高; 您无法限制用户的访问权限,容易出现误操作导致安全风险。 访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强网络安全控制,您可以给某个群组附加一个授权策略,该策略规定:如果用户的原始 IP 地址不是来自企业网络,则拒绝此类用户请求访问您名下的 ECS 资源。 您可以给不同群组设置不同权限,例如: SysAdmins:该群组需要创建和管理 ECS 镜像、实例、快照、安全组等权限。您给 SysAdmins 组附加了一个授权策略,该策略授予组成员执行所有 ECS 操作的权限。 Developers:该群组只需要使用实例的权限。您可以给 Developers 组附加一个授权策略,该策略授予组成员调用 DescribeInstances、StartInstance、StopInstance、CreateInstance 和 DeleteInstance 的权限。 如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以方便的将其从 Developpers 群组移到 SysAdmins 群组。 更多关于访问控制 RAM的介绍,请参考 RAM 的产品文档。

2019-12-01 22:57:14 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。如果这些用户共享使用您的云账号密钥,那么存在以下问题: 您的密钥由多人共享,泄密风险高; 您无法限制用户的访问权限,容易出现误操作导致安全风险。 访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强网络安全控制,您可以给某个群组附加一个授权策略,该策略规定:如果用户的原始 IP 地址不是来自企业网络,则拒绝此类用户请求访问您名下的 ECS 资源。 您可以给不同群组设置不同权限,例如: SysAdmins:该群组需要创建和管理 ECS 镜像、实例、快照、安全组等权限。您给 SysAdmins 组附加了一个授权策略,该策略授予组成员执行所有 ECS 操作的权限。 Developers:该群组只需要使用实例的权限。您可以给 Developers 组附加一个授权策略,该策略授予组成员调用 DescribeInstances、StartInstance、StopInstance、CreateInstance 和 DeleteInstance 的权限。 如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以方便的将其从 Developpers 群组移到 SysAdmins 群组。 更多关于访问控制 RAM的介绍,请参考 RAM 的产品文档。

2019-12-01 22:57:13 0 浏览量 回答数 0

问题

一台 Web 用途 Python 的Linux 服务器的目录结构、用户分组应该是怎样的?

a123456678 2019-12-01 20:06:27 867 浏览量 回答数 1

问题

针对OA系统的特点权限管理设计攻略

hua2012h 2019-12-01 20:15:21 5766 浏览量 回答数 0

问题

访问控制权限与授权策略

反向一觉 2019-12-01 21:26:58 1761 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 什么是RAM? RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 RAM要解决的问题 如果您购买了云资源,您的组织里有多个用户需要使用这些云资源,这些用户只能共享使用您的云账号密钥。这里有两个问题:(1) 您的密钥由多人共享,泄露的风险很高;(2) 您无法控制特定用户能访问哪些资源的权限。 RAM解决问题的方法 RAM允许您在您的云账户下创建多个RAM用户,并给这些用户分配资源操作权限。RAM用户不允许拥有资源,没有独立的计量计费,这些用户由您的云账户统一控制和付费。您可以给每个RAM用户创建单独的登录密码或访问密钥,但在默认条件下,这些用户并没有任何操作权限。RAM提供基于访问策略的授权机制,支持您实现对RAM用户的细粒度授权。 RAM功能 RAM包括下列功能: 集中控制RAM用户及其密钥 —— 您可以管理每个用户及其访问密钥,为用户绑定/解绑多因素认证设备 集中控制RAM用户的访问权限 —— 您可以控制每个用户可以访问您名下哪些资源的操作权限 集中控制RAM用户的资源访问方式 —— 您可以确保用户必须使用安全信道(如SSL)、在指定时间、以及在指定的网络环境下请求访问特定的云服务 集中控制云资源 —— 您可以对用户创建的实例或数据进行集中控制。当用户离开您的组织时,这些实例或数据不会丢失 统一账单 —— 您的账户将收到包括所有用户的资源操作所发生的费用的单一账单 RAM访问点 RAM的默认访问点地址是: https://ram.aliyuncs.com ,用户必须使用https接入访问点。 支持RAM的云产品 几乎所有的阿里云产品都会与RAM集成。目前支持哪些服务与RAM集成的信息,请参阅 支持 RAM 的云服务。 RAM服务费用 RAM服务是您的阿里云账户的一个功能,无需额外付费。您只需为您的RAM用户所使用的其它服务付费。

2019-12-01 23:11:14 0 浏览量 回答数 0

回答

借助访问控制 RAM 的 RAM 用户,您可以实现权限分割的目的,按需为子账号赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。 背景信息 出于安全考虑,您可以为阿里云账号(主账号)创建 RAM 用户(子账号),并根据需要为这些子账号赋予不同的权限,这样就能在不暴露主账号密钥的情况下,实现让子账号各司其职的目的。在本文中,假设企业 A 希望让部分员工处理日常运维工作,则企业 A 可以创建 RAM 用户,并为 RAM 用户赋予相应权限,此后员工即可使用这些 RAM 用户登录控制台或调用 API 。 Web+提供的系统权限策略包括: WebPlusFullAccess:Web+的完整权限。 WebPlusReadOnlyAccess:Web+的只读权限。 前提条件 开通Web+服务 开通访问控制RAM 步骤一:创建 RAM 用户 首先需要使用阿里云账号(主账号)登录 RAM 控制台并创建 RAM 用户。 登录 RAM 控制台,在左侧导航栏中选择人员管理 > 用户,并在用户页面上单击新建用户。 在新建用户页面的用户账号信息区域中,输入登录名称和显示名称。 说明 登录名称中允许使用英文字母、数字、“.”、“_”和“-”,长度不超过 128 个字符。显示名称不可超过 24 个字符或汉字。 (可选)如需一次创建多个用户,则单击添加用户,并重复上一步。 在访问方式区域,选中控制台密码登录或编程访问,并单击确定。 说明 为提高安全性,请仅选中一种访问方式。 如果选中控制台密码登录,则完成进一步设置,包括自动生成默认密码或自定义登录密码、登录时是否要求重置密码,以及是否开启 MFA(多因素认证)。 如果选中编程访问,则 RAM 会自动为 RAM 用户创建 AccessKey(API 访问密钥)。 注意 出于安全考虑,RAM 控制台只在创建 AccessKey 时提供一次查看或下载 AccessKeySecret 的机会,因此请务必将 AccessKeySecret 记录到安全的地方。 在手机验证对话框中单击获取验证码,并输入收到的手机验证码,然后单击确定。 创建的 RAM 用户显示在用户页面上。 步骤二:为 RAM 用户添加权限 在使用 RAM 用户之前,需要为其添加相应权限。 在 RAM 控制台左侧导航栏中选择人员管理 > 用户。 在用户页面上找到需要授权的用户,单击操作列中的添加权限。 在添加权限面板的选择权限区域中,通过关键字搜索需要添加的权限策略,并单击权限策略将其添加至右侧的已选择列表中,然后单击确定。 说明 可添加的权限参见背景信息部分。 在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。 后续步骤 使用阿里云账号(主账号)创建好 RAM 用户后,即可将 RAM 用户的登录名称及密码或者 AccessKey 信息分发给其他用户。其他用户可以按照以下步骤使用 RAM 用户登录控制台或调用 API。 登录控制台 在浏览器中打开 RAM 用户登录入口 https://signin.aliyun.com/login.htm。 在 RAM 用户登录页面上,输入 RAM 用户登录名称,单击下一步,并输入 RAM 用户密码,然后单击登录。 说明 RAM 用户登录名称的格式为 <子用户名称>@<默认域名>,或<子用户名称>@<企业别名>,例如 username@company-alias.onaliyun.com 或 username@company-alias。 在子用户用户中心页面上单击有权限的产品,即可访问控制台。 使用 RAM 用户的 AccessKey 调用 API 在代码中使用 RAM 用户的 AccessKeyId 和 AccessKeySecret 即可。 更多信息 什么是访问控制 基本概念 RAM 用户登录控制台

1934890530796658 2020-03-23 15:15:49 0 浏览量 回答数 0

回答

如果只是少量的操作要受控,那就简单实现,通过request 及用户权限信息判断是不是有权操作。但如果系统设计之初没有考虑权限管理的话。这可不是几行代码能搞定的事情了。第一件要做的事就是权限与现有功能的梳理。实际的编码工作量不会很多,无非是用户,角色 ,功能,操作这几个表做关联查询。用户有哪些角色? 角色可以操作哪些功能和按钮。用户又能操作哪些功能和按钮。这样一个用户进来,就能查到这个用户允许的所有操作。 根据request跟操作的关系,就知道是不是有权限操作了。也有单独的做权限的框架,只需定义一些权限和url想关联就可以了,比如apache shiro,spring security。个人比较推荐shiro,用起来比较简单。

蛮大人123 2019-12-02 01:54:18 0 浏览量 回答数 0

回答

亲~ 你可以使用RAM来解决你的需求。 RAM (Resource Access Management) 是阿里云为客户提供的用户身份管理与资源访问控制服务。使用 RAM,您可以创建、管理用户账号(比如员工、系统或应用程序),并可以控制这些用户账号对资源的操作权限。当您的企业存在多用户协同操作资源时,使用 RAM 可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。 RAM 允许在一个云账户下创建并管理多个用户身份,并允许给单个身份或一组身份分配不同的权限策略,从而实现不同用户拥有不同的云资源访问权限。 如果该回答对您有帮助的话,麻烦点击采纳此答案

叶康铭 2019-12-02 00:58:17 0 浏览量 回答数 0

回答

亲~ 你可以使用RAM来解决你的需求。 RAM (Resource Access Management) 是阿里云为客户提供的用户身份管理与资源访问控制服务。使用 RAM,您可以创建、管理用户账号(比如员工、系统或应用程序),并可以控制这些用户账号对资源的操作权限。当您的企业存在多用户协同操作资源时,使用 RAM 可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。 RAM 允许在一个云账户下创建并管理多个用户身份,并允许给单个身份或一组身份分配不同的权限策略,从而实现不同用户拥有不同的云资源访问权限。 如果该回答对您有帮助的话,麻烦点击采纳此答案

叶康铭 2019-12-02 00:58:16 0 浏览量 回答数 0

回答

亲~ 你可以使用RAM来解决你的需求。 RAM (Resource Access Management) 是阿里云为客户提供的用户身份管理与资源访问控制服务。使用 RAM,您可以创建、管理用户账号(比如员工、系统或应用程序),并可以控制这些用户账号对资源的操作权限。当您的企业存在多用户协同操作资源时,使用 RAM 可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。 RAM 允许在一个云账户下创建并管理多个用户身份,并允许给单个身份或一组身份分配不同的权限策略,从而实现不同用户拥有不同的云资源访问权限。 如果该回答对您有帮助的话,麻烦点击采纳此答案

叶康铭 2019-12-02 00:58:17 0 浏览量 回答数 0

问题

ECS如何访问控制RAM

boxti 2019-12-01 21:43:17 1054 浏览量 回答数 0

回答

谁说文件不能属于多个组的?支持 ACL 扩展就可以,现在大多数发行版都支持,只是默认它不给你显示出来罢了。为避免无休止的争论,特意补充说明一些观点,不强求接受,若有异议还请引用权威文档让我补补课,争论就免了吧。首先我上面的回答其实也不严谨,文件的确不能“属于”多个组,因为“属于”这个概念根本就是错的。只不过国内的开发者们嘴上说习惯了,算是一种约定俗成吧,加上楼主的原题就是这么问的,我就将错就错了,因为要解释清楚的话我犯懒。但是有朋友与我争论良久,评论里面打字不方便而且总显得对人不对事,那我就多说两句好了。首先我要声明我不是在瞎说,几年前我是苹果 AATC 的认证讲师,负责的就是操作系统课程的培训和考试,也就是 ACSP 认证(如果我没记错名字的话)。当时去考讲师的时候是苹果的专家给我们上的课。ACSP 的教程里专门有一章是讲文件系统与权限管理的,而且特别有一节就是讲 ACL,当时一起上课的朋友也有问过和楼主一样的问题的,讲师就把我们训了一通,说你们以后去培训的时候千万不要说什么文件属于用户组这样误人子弟的话,这个概念捋不清楚就不要做讲师了。虽然 Mac OS 不是 Linux,但是这个血缘关系就不用多讲了,至少文件系统、权限管理以及 ACL 这些东西是没多大区别的。回到正题,为什么说“文件属于用户组”是伪命题?因为文件从来就只有一个 owner,也就是创建该文件的用户,并且 ownership 也是可以改的。从这个意义上来讲,也许文件只能真正属于文件系统或者说操作系统,只要你有足够的权限,你就“拥有”这个文件。文件创建的时候,owner 所属的主组会成为该文件的 owner group。那有人就问了,这还不能叫做“归属组”?是的,虽然我们经常看到 owner group 这个词出现,但是它的真实含义是 owner's group,它强调的是 owner 所在的那个组(默认是主组,可以改),而不是这个组 own 这个文件,要不然的话应该是该组下所有的用户都是这个文件的 owner 才对!可能吗?文件只能有一个 owner,而一个组可能有多个用户,所以如果一个组也是文件的 owner,那就意味着这个文件可以有多个 owner,但是一个文件只能有一个 owner……还能绕回来不?用一句话描述这种关系就是:所有者创建了文件,则默认所有者的主组具有和所有者对于访问该文件相同的权限。这是一种权限的默认分配机制,并不是宣称文件归该组所有。所以“文件属于用户组”这个说法看似成立,实则是一种误解。ACL 在原始的权限分配机制上进行了扩展,使得对于文件的默认分配机制除了可以被覆盖(也就是改变 owner group)之外,还可以被扩展,这当然是有意义的!因为我可以让多个组针对目标文件具有不同的访问权限,于是就可以延伸到多个用户(因为你没有办法指定多个 owner)。然而,并不能因此就觉得 owner group 要比 ACL 扩展的 groups 高出一筹了。就好像强调“归属组”就能比其他组多出什么权限来一样,这是一种莫名的认知。你完全可以设定其他组具有比 owner group 还要高的访问权限,甚至用其他组替代 owner group,你能说文件到底“属于”谁呢?之所以 owner group 这个概念还存在完全是一个历史遗留,也是因为 owner 一次只能有一个,所以 owner group 默认的就是 owner 的主组了。这种经典权限分配机制诞生的时候没过多考虑后来扩展的问题,这才导致如今你不用其他工具就根本看不到 ACL 分配的扩展权限。用对象关系来做一个形象的比喻,文件对象归属于一个拥有者(file belongs to a owner),而一个拥有者可以拥有多个文件对象(owner has many files)。文件对象可以拥有多个组的访问权限(file has many groups),用户可以拥有多个组的访问权限(user has many groups),因此文件对象可以被多个用户以多种不同的权限访问(file can be accessed by many users w/ different permissions)这才是它们之间的正确关系,但是很显然跑题太远了。就说这些吧,我个人觉得 Linux 世界里的很多观点是永远都不可能统一的,大家求同存异就好。以上是我的理解(或者说我被洗的脑),是否接受请随意。

a123456678 2019-12-02 02:54:31 0 浏览量 回答数 0

问题

访问控制RAM

李沃晟 2019-12-01 21:21:31 1130 浏览量 回答数 0

回答

RAM允许在一个云账号下创建并管理多个身份,并允许给单个身份或一组身份分配不同的权限,从而实现不同用户拥有不同资源访问权限的目的。RAM的功能特性如下: • 集中控制RAM用户及其密钥:管理每个RAM用户及其访问密钥,为用户绑定多因素认证(MFA)设备。 • 集中控制RAM用户的访问权限:控制每个RAM用户访问资源的权限。 • 集中控制RAM用户的资源访问方式:确保RAM用户在指定的时间和网络环境下,通过安全信道访问特定的阿里云资源。 • 集中控制云资源:对RAM用户创建的实例或数据进行集中控制。当用户离开组织时,实例或数据不会丢失。 • 单点登录管理(SSO):支持与企业身份提供商(IdP)进行用户SSO或角色SSO。

LiuWH 2020-03-25 22:15:50 0 浏览量 回答数 0

问题

如何实现OSS 权限问题及排查?

青衫无名 2019-12-01 22:00:29 3511 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 发送访问OSS的请求 您可以直接使用OSS提供的RESTful API接口访问或者使用对API接口进行完整封装的SDK开发包。而每一次向OSS的请求根据当前Bucket权限和操作不同要求用户进行身份验证或者直接匿名访问。对OSS的资源访问的分类如下: 按访问者的角色可分为拥有者访问和第三方用户访问。这里的拥有者指的是Bucket的Owner,也称为开发者。第三方用户是指访问Bucket里资源的用户。 按访问者的身份信息可分为匿名访问和带签名访问。对于OSS来说,如果请求中没有携带任何和身份相关的信息即为匿名访问。带签名访问指的是按照OSS API文档中规定的在请求头部或者在请求URL中携带签名的相关信息。 AccessKey 类型 目前访问 OSS 使用的 AK(AccessKey)有三种类型,具体如下: 阿里云账号AccessKey 阿里云账号AK特指Bucket拥有者的AK,每个阿里云账号提供的AccessKey对拥有的资源有完全的权限。每个阿里云账号能够同时拥有不超过5个active或者inactive的AK对(AccessKeyId和AccessKeySecret)。 用户可以登录AccessKey管理控制台,申请新增或删除AK对。 每个AK对都有active/inactive两种状态。 Active 表明用户的 AK 处于激活状态,可以在身份验证的时候使用。 Inactive 表明用户的 AK 处于非激活状态,不能在身份验证的时候使用。 说明 请避免直接使用阿里云账户的 AccessKey。 RAM子账号AccessKey RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM账号AK指的是通过RAM被授权的AK。这组AK只能按照RAM定义的规则去访问Bucket里的资源。通过RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。比如能够限制您的用户只拥有对某一个Bucket的读权限。子账号是从属于主账号的,并且这些账号下不能拥有实际的任何资源,所有资源都属于主账号。 STS账号AccessKey STS(Security Token Service)是阿里云提供的临时访问凭证服务。STS账号AK指的是通过STS颁发的AK。这组AK只能按照STS定义的规则去访问Bucket里的资源。 身份验证具体实现 目前主要有三种身份验证方式: AK验证 RAM验证 STS验证 当用户以个人身份向OSS发送请求时,其身份验证的实现如下: 用户将发送的请求按照OSS指定的格式生成签名字符串。 用户使用AccessKeySecret对签名字符串进行加密产生验证码。 OSS收到请求以后,通过AccessKeyId找到对应的AccessKeySecret,以同样的方法提取签名字符串和验证码。 如果计算出来的验证码和提供的一样即认为该请求是有效的。 否则,OSS将拒绝处理这次请求,并返回HTTP 403错误。 对于用户来说可以直接使用OSS提供的SDK,配合不同类型的AccessKey即可实现不同的身份验证。 权限控制 针对存放在Bucket的Object的访问,OSS提供了多种权限控制,主要有: Bucket级别权限 Object级别权限 账号级别权限(RAM) 临时账号权限(STS) Bucket级别权限 Bucket权限类型 OSS提供ACL(Access Control List)权限控制方法,OSS ACL提供Bucket级别的权限访问控制,Bucket目前有三种访问权限:public-read-write,public-read和private,它们的含义如下: 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 任何人(包括匿名访问)都可以对该Bucket中的Object进行读/写/删除操作;所有这些操作产生的费用由该Bucket的Owner承担,请慎用该权限。 public-read 公共读,私有写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行写/删除操作;任何人(包括匿名访问)可以对Object进行读操作。 private 私有读写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行读/写/删除操作;其他人在未经授权的情况下无法访问该Bucket内的Object。 Bucket权限设定和读取方法 功能使用参考: API:Put BucketACL SDK:Java SDK-设置Bucket ACL 控制台:创建Bucket权限设置 API:Get BucketACL SDK:Java SDK-获取Bucket ACL Object级别权限 Object权限类型 OSS ACL也提供Object级别的权限访问控制。目前Object有四种访问权限:private, public-read, public-read-write, default。Put Object ACL操作通过Put请求中的“x-oss-object-acl”头来设置,这个操作只有Bucket Owner有权限执行。 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 该ACL表明某个Object是公共读写资源,即所有用户拥有对该Object的读写权限。 public-read 公共读,私有写 该ACL表明某个Object是公共读资源,即非Object Owner只有该Object的读权限,而Object Owner拥有该Object的读写权限。 private 私有读写 该ACL表明某个Object是私有资源,即只有该Object的Owner拥有该Object的读写权限,其他的用户没有权限操作该Object。 default 默认权限 该ACL表明某个Object是遵循Bucket读写权限的资源,即Bucket是什么权限,Object就是什么权限。 说明 如果没有设置Object的权限,即Object的ACL为default,Object的权限和Bucket权限一致。 如果设置了Object的权限,Object的权限大于Bucket权限。举个例子,如果设置了Object的权限是public-read,无论Bucket是什么权限,该Object都可以被身份验证访问和匿名访问。 Object权限设定和读取方法 功能使用参考: API:Put Object ACL SDK:Java SDK-ObjectACL 中设定Object ACL API:Get Object ACL SDK:Java SDK-ObjectACL 中读取Object ACL 账号级别权限(RAM) 使用场景 如果您购买了云资源,您的组织里有多个用户需要使用这些云资源,这些用户只能共享使用您的云账号AccessKey。这里有两个问题: 您的密钥由多人共享,泄露的风险很高。 您无法控制特定用户能访问哪些资源(比如Bucket)的权限。 解决方法:在您的阿里云账号下面,通过RAM可以创建具有自己AccessKey的子用户。您的阿里云账号被称为主账号,创建出来的账号被称为子账号,使用子账号的AccessKey只能使用主账号授权的操作和资源。 具体实现 有关RAM详情,请参考RAM用户手册。 对于授权中需要的Policy的配置方式可以参考本章最后一节:RAM和STS授权策略(Policy)配置。 临时账号权限(STS) 使用场景 对于您本地身份系统所管理的用户,比如您的App的用户、您的企业本地账号、第三方App,也有直接访问OSS资源的可能,将这部分用户称为联盟用户。此外,用户还可以是您创建的能访问您的阿里云资源的应用程序。 对于这部分联盟用户,通过阿里云STS (Security Token Service) 服务为阿里云账号(或RAM用户)提供短期访问权限管理。您不需要透露云账号(或RAM用户)的长期密钥(如登录密码、AccessKey),只需要生成一个短期访问凭证给联盟用户使用即可。这个凭证的访问权限及有效期限都可以由您自定义。您不需要关心权限撤销问题,访问凭证过期后会自动失效。 用户通过STS生成的凭证包括安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)。使用AccessKey方法与您在使用阿里云账户或RAM用户AccessKey发送请求时的方法相同。此外还需要注意的是在每个向OSS发送的请求中必须携带安全令牌。 具体实现 STS安全令牌、角色管理和使用相关内容详情,请参考RAM用户指南中的角色管理。关键是调用STS服务接口AssumeRole来获取有效访问凭证即可,也可以直接使用STS SDK来调用该方法。 RAM和STS应用场景实践 对于不同的应用场景,涉及到的访问身份验证方式可能存在差异。下面以几种典型的应用场景来说明访问身份验证中几种使用方式。 以一个移动App举例。假设您是一个移动App开发者,打算使用阿里云OSS服务来保存App的终端用户数据,并且要保证每个App用户之间的数据隔离,防止一个App用户获取到其它App用户的数据。 方式一:使用AppServer来做数据中转和数据隔离如上图所示,您需要开发一个AppServer。只有AppServer能访问云服务,ClientApp的每次读写数据都需要通过AppServer,AppServer来保证不同用户数据的隔离访问。 对于该种使用方式,使用阿里云账号或者RAM账号提供的密钥来进行签名验证访问。建议您尽量不要直接使用阿里云账号(主账号)的密钥访问OSS,避免出现安全问题。 方式二:使用STS让用户直接访问OSS STS方案描述如下图所示:方案的详细描述如下: App用户登录。App用户和云账号无关,它是App的终端用户,AppServer支持App用户登录。对于每个有效的App用户来说,需要AppServer能定义出每个App用户的最小访问权限。 AppServer请求STS服务获取一个安全令牌(SecurityToken)。在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。然后通过扮演角色(AssumeRole)来获取一个代表角色身份的安全令牌。 STS返回给AppServer一个有效的访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)以及过期时间。 AppServer将访问凭证返回给ClientApp。ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证。 ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,正确响应用户请求。 RAM和STS授权策略(Policy)配置 对于RAM或者STS授权中使用Policy,详细规则如下。 示例 先看下面的一个Policy示例: { "Version": "1", "Statement": [ { "Action": [ "oss:GetBucketAcl", "oss:ListObjects" ], "Resource": [ "acs:oss:*:1775305056529849:mybucket" ], "Effect": "Allow", "Condition": { "StringEquals": { "acs:UserAgent": "java-sdk", "oss:Prefix": "foo" }, "IpAddress": { "acs:SourceIp": "192.168.0.1" } } }, { "Action": [ "oss:PutObject", "oss:GetObject", "oss:DeleteObject" ], "Resource": [ "acs:oss:*:1775305056529849:mybucket/file*" ], "Effect": "Allow", "Condition": { "IpAddress": { "acs:SourceIp": "192.168.0.1" } } } ] } 这是一个授权的Policy,用户用这样的一个Policy通过RAM或STS服务向其他用户授权。Policy当中有一个Statement(一条Policy当中可以有多条Statement)。Statement里面规定了相应的Action、Resource、Effect和Condition。 这条Policy把用户自己名下的mybucket和mybucket/file*这些资源授权给相应的用户,并且支持GetBucketAcl、GetBucket、PutObject、GetObject和DeleteObject这几种操作。Condition中的条件表示UserAgent为java-sdk,源IP为192.168.0.1的时候鉴权才能通过,被授权的用户才能访问相关的资源。Prefix这个Condition是在GetBucket(ListObjects)的时候起作用的,关于这个字段的解释详见OSS的API文档。 配置细则 Version Version定义了Policy的版本,本文档中sw2q的配置方式,设置为1。 Statement 通过Statement描述授权语义,其中可以根据业务场景包含多条语义,每条包含对Action、Effect、Resource和Condition的描述。每次请求系统会逐条依次匹配检查,所有匹配成功的Statement会根据Effect的设置不同分为通过(Allow)、禁止(Deny),其中禁止(Deny)的优先。如果匹配成功的都为通过,该条请求即鉴权通过。如果匹配成功有一条禁止,或者没有任何条目匹配成功,该条请求被禁止访问。 Action Action分为三大类:Service级别操作,对应的是GetService操作,用来列出所有属于该用户的Bucket列表。 Bucket级别操作,对应类似于oss:PutBucketAcl、oss:GetBucketLocation之类的操作,操作的对象是Bucket,它们的名称和相应的接口名称一一对应。 Object级别操作,分为oss:GetObject、oss:PutObject、oss:DeleteObject和oss:AbortMultipartUpload,操作对象是Object。 如想授权某一类的Object的操作,可以选择这几种的一种或几种。另外,所有的Action前面都必须加上oss:,如上面例子所示。Action是一个列表,可以有多个Action。具体的Action和API接口的对应关系如下: Service级别 API Action GetService(ListBuckets) oss:ListBuckets Bucket级别 API Action PutBucket oss:PutBucket GetBucket(ListObjects) oss:ListObjects PutBucketAcl oss:PutBucketAcl DeleteBucket oss:DeleteBucket GetBucketLocation oss:GetBucketLocation GetBucketAcl oss:GetBucketAcl GetBucketLogging oss:GetBucketLogging PutBucketLogging oss:PutBucketLogging DeleteBucketLogging oss:DeleteBucketLogging GetBucketWebsite oss:GetBucketWebsite PutBucketWebsite oss:PutBucketWebsite DeleteBucketWebsite oss:DeleteBucketWebsite GetBucketReferer oss:GetBucketReferer PutBucketReferer oss:PutBucketReferer GetBucketLifecycle oss:GetBucketLifecycle PutBucketLifecycle oss:PutBucketLifecycle DeleteBucketLifecycle oss:DeleteBucketLifecycle ListMultipartUploads oss:ListMultipartUploads PutBucketCors oss:PutBucketCors GetBucketCors oss:GetBucketCors DeleteBucketCors oss:DeleteBucketCors PutBucketReplication oss:PutBucketReplication GetBucketReplication oss:GetBucketReplication DeleteBucketReplication oss:DeleteBucketReplication GetBucketReplicationLocation oss:GetBucketReplicationLocation GetBucketReplicationProgress oss:GetBucketReplicationProgress Object级别 API Action GetObject oss:GetObject HeadObject oss:GetObject PutObject oss:PutObject PostObject oss:PutObject InitiateMultipartUpload oss:PutObject UploadPart oss:PutObject CompleteMultipart oss:PutObject DeleteObject oss:DeleteObject DeleteMultipartObjects oss:DeleteObject AbortMultipartUpload oss:AbortMultipartUpload ListParts oss:ListParts CopyObject oss:GetObject,oss:PutObject UploadPartCopy oss:GetObject,oss:PutObject AppendObject oss:PutObject GetObjectAcl oss:GetObjectAcl PutObjectAcl oss:PutObjectAcl Resource Resource指代的是OSS上面的某个具体的资源或者某些资源(支持*通配),resource的规则是acs:oss:{region}:{bucket_owner}:{bucket_name}/{object_name}。对于所有Bucket级别的操作来说不需要最后的斜杠和{object_name},即acs:oss:{region}:{bucket_owner}:{bucket_name}。Resource也是一个列表,可以有多个Resource。其中的region字段暂时不做支持,设置为*。 Effect Effect代表本条的Statement的授权的结果,分为Allow和Deny,分别指代通过和禁止。多条Statement同时匹配成功时,禁止(Deny)的优先级更高。 例如,期望禁止用户对某一目录进行删除,但对于其他文件有全部权限: { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:*" ], "Resource": [ "acs:oss:*:*:bucketname" ] }, { "Effect": "Deny", "Action": [ "oss:DeleteObject" ], "Resource": [ "acs:oss:*:*:bucketname/index/*", ] } ] } Condition Condition代表Policy授权的一些条件,上面的示例里面可以设置对于acs:UserAgent的检查、acs:SourceIp的检查、还有oss:Prefix这项用来在GetBucket的时候对资源进行限制。 OSS支持的Condition如下: condition 功能 合法取值 acs:SourceIp 指定ip网段 普通的ip,支持*通配 acs:UserAgent 指定http useragent头 字符串 acs:CurrentTime 指定合法的访问时间 ISO8601格式 acs:SecureTransport 是否是https协议 “true”或者”false” oss:Prefix 用作ListObjects时的prefix 合法的object name 更多示例 针对具体场景更多的授权策略配置示例,可以参考教程示例:控制存储空间和文件夹的访问权限和OSS授权常见问题。 Policy在线图形化便捷配置工具,请单击这里。 最佳实践 RAM和STS使用指南

2019-12-01 23:12:47 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 企业信息查询 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站