阿里云的访问控制RAM(Resource Access Management)提供了强大的细粒度权限管理功能,适用于企业中多个部门或角色需要访问ECS资源的情况。为了保障敏感信息和关键业务流程的安全,您可以根据各部门或角色的具体职责分配不同的访问权限。通过实施权限分离策略,不仅能显著提升管理效率,还
公司在接待外部客户进行参观活动时,常见的方案是给访客一张临时工牌,访客凭此工牌可在限定时间内,在授权区域内活动。阿里云提供的RAM角色功能,可以解决类似的云上运维场景。它允许用户扮演特定的临时身份,并执行授权范围内的管理动作,适用于跨账号访问、角色单点登录(SSO)以及临时授权等场景。 场景介绍 接
本文描述云服务器 ECS支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。 什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品提供了两种类型的权限策略:系统策略和自定义策略。系统策略统一由
当您需要使用KMS加密ECS的云盘、快照、镜像等资源时,需要先授予ECS访问KMS密钥的权限。当您需要将加密镜像、快照共享给其他阿里云账号时,需先授予被共享账号的ECS服务访问共享账号KMS密钥的权限。 加密ECS资源 ECS和KMS深度集成。当您需要对ECS的云盘、快照、镜像等资源进行加密时,可直
实例RAM角色是指为ECS实例授予的RAM角色,该RAM角色是一个信任主体为云服务器的普通服务角色。使用实例RAM角色可以实现在ECS实例内部无需配置AccessKey即可获取临时访问凭证(STS Token),从而调用其他云产品的API。由于临时身份凭证仅可在实例内部获取,并且无需配置Access
服务关联角色SLR(Service-linked role)是一种可信实体为阿里云服务的RAM角色。云服务器ECS使用服务关联角色获取其他云服务或云资源的访问权限。本文介绍云服务器ECS的服务关联角色。 阿里云访问控制为每个服务关联角色提供了一个系统权限策略,该策略不支持修改。如果您想了解该系统策略
您可以通过授予RAM用户一个或多个包含RAM条件关键字的自定义权限策略,从而限制其创建安全组或添加安全组规则时的操作权限。例如,禁止添加包含对应IP和协议的安全组规则、限制添加的安全组规则范围,或在创建ECS实例时禁止使用默认安全组,从而提升阿里云账号的安全性。本文介绍如何利用RAM条件关键字禁止R
如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍云服务器ECS使用自定义权限策略的场景和策略示例。 背景信息 如果您想了解创建自定义权限策略的操作步骤,请参见创建自定义权限策略。
为确保您的阿里云账号及云资源使用安全,如非必要都应避免直接使用阿里云账号(即主账号)来访问云服务器ECS。推荐的做法是使用RAM身份(即RAM用户和RAM角色)来访问云服务器ECS。 RAM用户 RAM用户需要由阿里云账号(即主账号)或拥有
