Ali 访问控制 RAM 用户身份
2018/11/13 Chenxin
参考:
https://help.aliyun.com/product/28625.html?spm=a2c4g.11186623.6.540.6d391789KyV4qm
子账号登陆url:
https://signin.aliyun.com/taihe/login.htm?callback=https%3A%2F%2Fecs-eu-central-1.console.aliyun.com%2F
概念
云账户(主账户)
我们有时称它为 根账户 或 主账户
云账户别名(Alias)
云账号 admin@abc.com 为自己设置一个别名为 abc.com,那么其名下的 RAM 用户 alice 成功登录后,显示名就是 alice@abc.com
RAM 用户
RAM 用户不拥有资源,没有独立的计量计费,这些用户由所属云账户统一控制和付费。
RAM-Role
与普通 RAM 用户的差别主要在使用方法上,RAM 角色需要被一个授信的实体用户扮演,扮演成功后实体用户将获得 RAM 角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源。
RAM-Role 的扮演与切换:从登录身份切换到角色身份(SwitchRole):一个实体用户(比如 RAM-User)登录到控制台后,可以选择 切换到某个角色,前提是这个实体用户已经被关联了角色。
资源(Resource)
格式 acs:
acs: Alibaba Cloud Service
service-name: 如 ecs, oss, odps 等。
region: 地区信息。如果不支持该项,可以使用通配符“*”号来代替。
account-id: 账号 ID,比如 1234567890123456。
resource-relative-id: 与 service 相关的资源描述部分,其语义由具体 service 指定。
acs:oss::1234567890123456:sample_bucket/file1.txt 表示公有云平台 OSS 资源,OSS 对象名称是 sample_bucket/file1.txt,对象的 Owner 是 1234567890123456
额外:AWS的ARN
arn:aws:rds:us-east-1:651544429366:db:xlog
授权策略(Policy)
参考<<Policy语法结构>> https://help.aliyun.com/document_detail/28664.html?spm=a2c4g.11186623.2.17.1d4c3082gTrD1j
授权策略是描述权限集的一种简单语言规范。跟aws的policy类似.
切换身份(SwitchRole)
是在控制台中实体用户从当前登录身份切换到角色身份的方法。
一个实体用户登录到控制台之后,可以切换到被许可扮演的某一种角色身份,然后以角色身份操作云资源。切换到角色身份后,原实体用户身份的访问权限将被屏蔽。
用户不需要使用角色身份时,可以从角色身份切换回原来的登录身份。
角色令牌是角色身份的一种临时访问密钥。角色身份没有确定的访问密钥,当一个实体用户要使用角色时,必须通过扮演角色来获取对应的角色令牌,然后使用角色令牌来调用阿里云服务 API。
可以跨云账户创建角色(以便其他公司人员帮忙处理问题).
日常操作
API见RAM的API参考部分,有详细的介绍.
SDK部分可能比较过时了.
日常的控制台policy配置部分,可以参考"常见问题"中的示例.