账号访问控制RAM

最新推荐文章于 2023-09-04 08:30:00 发布
最新推荐文章于 2023-09-04 08:30:00 发布
阅读量2.2k 收藏 5
点赞数 6
分类专栏: 介绍 笔记 文章标签: 阿里云 云计算 云安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43647037/article/details/117133823
版权

账号访问控制

本文介绍了如何使用访问控制RAM(Resource Access Management)在账号级别上控制对云服务器ECS资源的访问,具体通过创建RAM用户(组)并授予特定权限策略实现。
背景信息
访问控制RAM是阿里云提供的资源访问控制服务。
访问控制RAM的典型场景:
用户:
如果您购买了多台云服务器ECS实例,您的组织里有多个用户(如员工、系统或应用程序)需要使用这些实例,您可以创建一个策略允许部分用户使用这些实例。避免了将同一个AccessKey泄露给多人的风险。
用户组:
您可以创建多个用户组,并授予不同权限策略,起到批量管理的效果。例如:

    为了加强网络安全控制,您可以给某个用户组授权一个权限策略,该策略可以规定:如果用户的IP地址不是来自企业网络,则拒绝此类用户请求访问相关ECS资源。

    您可以创建以下两个用户组管理不同工作职责的人员,如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以将其从Developers用户组移到SysAdmins用户组。

            SysAdmins:该用户组需要创建和管理的权限。您可以给SysAdmins组授予一个权限策略,该策略授予用户组成员执行所有ECS操作的权限,包括ECS实例、镜像、快照和安全组等。
            
             Developers:该用户组需要使用实例的权限。您可以给Developers组授予一个权限策略,该策略授予用户组成员调用DescribeInstances、StartInstance、StopInstance、RunInstance和DeleteInstance等权限。

权限策略
在这里插入图片描述
操作步骤
步骤一:创建RAM用户
1.在左侧导航栏的人员管理菜单下,单击用户。
2.单击新建用户。
3.输入登录名称和显示名称。
4.在访问方式区域下,选择控制台密码登录或编程访问。

         控制台密码登录:完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
         编程访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。

5.单击确认。
在这里插入图片描述
(可选)步骤二:创建自定义权限策略
除了使用阿里云提供的系统权限,您还可以按以下步骤在访问控制RAM控制台创建一个自定义权限策略:

1.在左侧导航栏的权限管理菜单下,单击权限策略管理。
2.单击新建权限策略。
3.填写策略名称和备注。
4.配置模式选择可视化配置或脚本配置。

            可视化配置:单击添加授权语句,根据界面提示,对权限效力、操作名称和资源等进行配置。

在这里插入图片描述

                         脚本配置:请参考权限策略语法和结构编辑策略内容。

在这里插入图片描述
脚本配置策略示例一:允许RAM用户创建按量付费实例。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeImages", 
                  "vpc:DescribeVpcs", 
                  "vpc:DescribeVSwitches", 
                  "ecs:DescribeSecurityGroups", 
                  "ecs:DescribeKeyPairs",
                  "ecs:DescribeTags", 
                  "ecs:RunInstances"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

脚本配置策略示例二:允许RAM用户创建包年包月实例。其中bss相关API主要用于查看并支付包年包月订单,其对应的系统策略为AliyunBSSOrderAccess。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeImages", 
                  "vpc:DescribeVpcs", 
                  "vpc:DescribeVSwitches", 
                  "ecs:DescribeSecurityGroups", 
                  "ecs:DescribeKeyPairs",
                  "ecs:DescribeTags", 
                  "ecs:RunInstances",
                  "bss:DescribeOrderList",
                  "bss:DescribeOrderDetail",
                  "bss:PayOrder",
                  "bss:CancelOrder"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

脚本配置策略示例三:允许RAM用户创建了ECS实例后查询实例和块存储信息。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeInstances", 
                    "ecs:DescribeDisks"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

5.单击确定。
步骤三:授权RAM用户
按以下步骤在访问控制RAM控制台创授权RAM用户相关权限:

1.在左侧导航栏的人员管理菜单下,单击用户。
2.在用户登录名称/显示名称列表下,找到目标RAM用户。
3.单击添加权限,被授权主体会自动填入。
4.在左侧权限策略名称列表下,单击需要授予RAM用户的权限策略。
5.单击确定。
6.单击完成。

在这里插入图片描述

阿里云官方文档

小东子李
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 13
    评论
专栏目录
服务器知识:阿里云服务器创建RAM用户的方法
软贱开发攻城狮
12-11 6199
       在阿里云服务器维护过程中,创建RAM用户是必须要有的,尤其是公司有多名运维人员的时候。在阿里云服务器控制台里面的RAM控制台中可以设置RAM用户的登录密码以RAM用户安全策略。        一、RAM的初始设置     (一)设置账号别名        为云账号设置一个RAM账号别名,能让RAM用户更容易记住登录入口。由于安全原因,RAM用户的登录入口不同于主账号的登录入口。...
阿里云配置 RAM账号 关于 OSS的 单个bucket权限
11-07
打开访问控制控制台,创建一个新的 RAM 子用户。如果已经有现有的 RAM 子用户,可以跳过这一步骤。 Step 2: 创建权限策略 新建权限策略,点击脚本编辑,复制以下策略: ```json { "Version": "1", "Statement":...
阿里云RAM访问控制
谷哥的小弟
10-03 3647
访问控制 RAM(Resource Access Management)是阿里云为客户提供的用户身份管理与访问控制服务。使用 RAM您可以创建、管理用户账号(比如员工、系统或应 用程序),并可以控制这些用户账号对您名下资源具有的操作权限。
云计算介绍与阿里云服务:访问控制RAM
qq_45919390的博客
03-31 482
云计算是什么? 云计算就是通过互联网按需提供计算资源;采用按使用量付费的定价模式。其服务模式分为:按需付费、网络接入、资源共享、池化这四个服务模式,学习云计算也主要根据这四个方面进行学习。 **物理服务器:**耗费人力物力,效率不高 **虚拟化:**将一台服务器虚拟为多台服务器使用 **云计算:**高度的虚拟化,通过更新的技术实现计算资源的快速再分配 **云计算的特点:**按需付费,网络接入,资源...
企业上云最佳实践:账号安全管理之 RAM 访问控制
weixin_33797791的博客
01-09 427
数字化时代背景下,越来越多的企业选择上云。企业上云不仅可以驱动流程创新和业务创新,还会为企业带来新的利润增长点,呈现出更为弹性化、安全化、智能化、高效化的运维特性。 然而企业上云往往会面临各种各样的安全威胁,数据丢失、系统漏洞、账号共享、外部攻击等等不一而足。其中最严重的威胁莫过于账号密码或 AK (Access Key)泄露——也许你会侥幸认为“这不会...
阿里云大数据实战记录9:MaxCompute RAM 用户与授权
明而决之
09-04 1122
本次探索过程,发现了一个问题,阿里云产品,可能每一个都会有自己的控制台,有自己的一套权限管理,配置权限前,需要先思考,这个权限是在哪一个平台上使用,然后针对性去对应的文档和对应的控制台中寻找解决方案。 就如本次,处理的内容其实是 MaxCompute 项目级别的问题,需要到项目中去寻找解决方案,一开始我配置了 RAM 用户相关权限,也在数据保护伞和 DataWorks 用户管理上面也尝试了解决方案,不过都是无用功,无法最终解决问题,只是更加清晰地了解了阿里云的权限管理逻辑。
阿里云-访问控制服务产品简介.pdf
10-11
RAM-Role是虚拟身份,无固定认证密钥,需与特定实体身份关联,支持多种应用场景,如跨账号访问、服务关联等。 - **授权策略管理**:RAM支持创建和管理多条授权策略,每条策略可定义一组权限集合,用以精确控制...
阿里云-访问控制服务SDK手册.pdf
10-11
**访问控制服务(STS)** 是一种基于阿里云RAM(Resource Access Management)服务的临时授权机制。它允许应用程序在有限的时间内获得特定资源的访问权限,而无需永久性的Access Key ID和Access Key Secret。这有助...
阿里云-访问控制服务用户指南.pdf
10-11
阿里云访问控制服务(Resource Access Management,简称RAM)是一个强大的安全管理工具,它为企业提供了精细的权限管理和身份管理方案。本用户指南详细介绍了如何利用RAM服务进行用户身份管理、授权管理以及典型...
阿里云-访问控制服务API文档.pdf
10-11
阿里云访问控制服务API文档】详解 阿里云访问控制服务(Access Control Service,简称ACS)是阿里云提供的一种关键的权限管理服务,用于确保只有经过授权的实体才能访问特定的资源。它允许用户对云资源进行精细的...
阿里云RAM访问控制实践
keyboard专栏
01-19 4399
公司的项目已经云化,而且在云上购买了多个资源,比如:ECS,RDS,PTS等,现在准备把PTS的权限给测试,但是又不能阿里云账号给测试,遇到这种情况就可以使用阿里云RAM访问控制了。 具体的操作步骤如下: 1、登录到阿里云RAM访问控制 https://ram.console.aliyun.com/overview 2、创建测试的用户组,我需要给用户添加PTS权限 3、给用户组添加权...
【笔记】阿里云RAM
lionzl的专栏
11-02 1786
【笔记】阿里云RAM 2015-09-23 18:01:30 分类: 云计算 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM用户是代表任意的通过控制台或OpenAPI操作阿里云资源的人、系统或应用程序。RAM允许您在云账号下创建并管理多个用户,每个用户都有唯一的用户名、登录密码或访问密钥。 云账户与RA
linux ram 权限,如何使用访问控制 RAM 授权访问 ECS 实例和API 的鉴权规则
weixin_33670640的博客
04-30 1452
本篇文章给大家带来的内容是关于如何使用访问控制 RAM 授权和访问 ECS 实例,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。鉴权规则默认情况下,您能使用 ECS API 完整操作自己创建的 ECS 资源。但子账号刚创建时没有权限操作主账号的资源,或者从其他服务访问 ECS 时,会涉及到操作授权问题。所以当您操作某些具有权限控制的 ECS 资源前,需要资源拥有者授权目标资源和目标...
阿里云 RAM 用户及 权限策略介绍
Be yourself.
11-27 9099
前言 之前,需要将阿里云的某个oss bucket仓库分享给其他人,昨天研究了下阿里云的子用户策略,也就是所谓的ram系统。 基本操作 在阿里云后端控制台开通ram系统,并且新建一个用户。 设置新用户的登录策略和登录密码。并且赋予相对的权限模版。 登录地址基本为https://signin.aliyun.com/<企业id>/login.htm,用户名/密码(用户名@<企业i...
[笔记]阿里云创建RAM用户
二次元怪兽的博客
08-08 2577
创建RAM用户这些账号密码等都要保存。
阿里云RAM账户日常问题总结
修电脑的码农
04-19 8224
什么是RAM ? RAM (Resource Access Management) 是阿里云为客户提供的用户身份管理与访问控制服务。使用RAM,您可以创建、管理用户账号(比如员工、系统或应用程序),并可以控制这些用户账号对您名下资源具有的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低您的企业信息安全风险。 O...
阿里云 访问控制RAM
elesos.com
05-15 1822
https://help.aliyun.com/product/28625.html 为用户分配最小权限 别名主要用于 RAM 用户登录以及成功登录后的显示名。 强烈建议您给主账号绑定多因素认证。 设置MFA https://help.aliyun.com/document_detail/28635.html 安装虚拟MFA应用程序
使用RAM授权的方式操作(上传/下载等)阿里云对象存储OSS(含完整步骤和代码)
分享一点有用的知识
02-28 2446
使用RAM授权的方式操作(上传/获取等)阿里云对象存储OSS
阿里云配置使用自定义 OSS Bucket 时的 RAM 访问权限控制
qq_34874784的博客
07-30 2178
当用户需要使用自定义 OSS bucket 时,需要为账号添加 RAM 角色,并为该 RAM 角色授予对 OSS bucket 操作的权限,然后容器镜像服务才能正常访问该 OSS bucket。 步骤一:创建 RAM 角色 容器镜像服务访问自定义 OSS bucket 时,需要为阿里云账号创建的角色名为 AliyunContainerRegistryCustomizedOSSBucketRole。 云账号登录RAM控制台。 在左侧导航栏,单击RAM角色管理。 单击创建RAM角色。 选择可信实体类
阿里云RAM访问控制是什么意思
最新发布
02-22
4. 跨账号授权:您可以通过RAM实现跨账号的资源共享和访问控制。例如,您可以将某个阿里云资源(如OSS存储桶)的访问权限授予其他阿里云账号下的RAM用户。 通过使用RAM访问控制,您可以实现对阿里云资源的精细化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小东子李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值