为确保您的阿里云账号及云资源使用安全,如非必要,都应避免直接使用阿里云账号(即主账号)来访问GPU云服务器,推荐的做法是使用RAM身份(即RAM用户和RAM角色)并授予权限策略来进行权限管理,可有效控制资源的访问安全。
GPU云服务器使用RAM进行访问控制时,其身份管理、权限策略以及服务关联角色与云服务器ECS一致,具体说明如下:
身份管理
使用RAM用户和RAM角色,通过授权来访问和管理阿里云账号(即主账号)下的资源。更多信息,请参见身份管理。
基于身份的权限策略
支持授权系统策略和自定义策略两种类型,通过为RAM身份绑定某种权限策略,获得权限策略中指定的访问权限。
系统策略:统一由阿里云创建和管理,用户只能使用不能修改,策略的版本更新由阿里云维护。更多信息,请参见云服务器ECS系统权限策略参考。
自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护。更多信息,请参见云服务器ECS自定义权限策略参考。
服务关联角色
服务关联角色SLR(Service-linked role)是一种可信实体为阿里云服务的RAM角色,使用服务关联角色可以获取其他云服务或云资源的访问权限。更多信息,请参见服务关联角色。
通过RAM角色授予访问KMS密钥的权限
当您需要使用KMS加密ECS资源(例如云盘、快照或镜像)时,需要通过RAM角色授予ECS访问KMS的权限;或共享加密快照、加密镜像给其他阿里云账号时,需先授予被共享账号有访问KMS密钥的权限。更多信息,请参见通过RAM角色授予访问KMS密钥的权限。