• Ali 访问控制 RAM 用户身份


    Ali 访问控制 RAM 用户身份
    2018/11/13 Chenxin
    参考:
    https://help.aliyun.com/product/28625.html?spm=a2c4g.11186623.6.540.6d391789KyV4qm
    子账号登陆url:
    https://signin.aliyun.com/taihe/login.htm?callback=https%3A%2F%2Fecs-eu-central-1.console.aliyun.com%2F

    概念
    云账户(主账户)
    我们有时称它为 根账户 或 主账户
    云账户别名(Alias)
    云账号 admin@abc.com 为自己设置一个别名为 abc.com,那么其名下的 RAM 用户 alice 成功登录后,显示名就是 alice@abc.com
    RAM 用户
    RAM 用户不拥有资源,没有独立的计量计费,这些用户由所属云账户统一控制和付费。
    RAM-Role
    与普通 RAM 用户的差别主要在使用方法上,RAM 角色需要被一个授信的实体用户扮演,扮演成功后实体用户将获得 RAM 角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源。
    RAM-Role 的扮演与切换:从登录身份切换到角色身份(SwitchRole):一个实体用户(比如 RAM-User)登录到控制台后,可以选择 切换到某个角色,前提是这个实体用户已经被关联了角色。
    资源(Resource)
    格式 acs::::
    acs: Alibaba Cloud Service
    service-name: 如 ecs, oss, odps 等。
    region: 地区信息。如果不支持该项,可以使用通配符“*”号来代替。
    account-id: 账号 ID,比如 1234567890123456。
    resource-relative-id: 与 service 相关的资源描述部分,其语义由具体 service 指定。
    acs:oss::1234567890123456:sample_bucket/file1.txt 表示公有云平台 OSS 资源,OSS 对象名称是 sample_bucket/file1.txt,对象的 Owner 是 1234567890123456
    额外:AWS的ARN
    arn:aws:rds:us-east-1:651544429366:db:xlog
    授权策略(Policy)
    参考<<Policy语法结构>> https://help.aliyun.com/document_detail/28664.html?spm=a2c4g.11186623.2.17.1d4c3082gTrD1j
    授权策略是描述权限集的一种简单语言规范。跟aws的policy类似.
    切换身份(SwitchRole)
    是在控制台中实体用户从当前登录身份切换到角色身份的方法。
    一个实体用户登录到控制台之后,可以切换到被许可扮演的某一种角色身份,然后以角色身份操作云资源。切换到角色身份后,原实体用户身份的访问权限将被屏蔽。
    用户不需要使用角色身份时,可以从角色身份切换回原来的登录身份。
    角色令牌是角色身份的一种临时访问密钥。角色身份没有确定的访问密钥,当一个实体用户要使用角色时,必须通过扮演角色来获取对应的角色令牌,然后使用角色令牌来调用阿里云服务 API。
    可以跨云账户创建角色(以便其他公司人员帮忙处理问题).
    日常操作
    API见RAM的API参考部分,有详细的介绍.
    SDK部分可能比较过时了.
    日常的控制台policy配置部分,可以参考"常见问题"中的示例.

  • 相关阅读:
    git学习记录——基础概念和文件的基本操作
    java 之 Properties 类
    java 之 Map类
    java 之 迭代器
    java 之 Collection类
    java 之日期时间操作
    java 之String类
    如何把ASP.NET MVC项目部署到本地IIS上
    [工具]Visual Studio
    [MVC][Shopping]Copy Will's Code
  • 原文地址:https://www.cnblogs.com/chanix/p/11732461.html
Copyright © 2020-2023  润新知