RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM 用户是代表任意的通过控制台或 OpenAPI 操作阿里云资源的人、零碎或应用程序。RAM 容许您在云账号下创立并治理多个用户,每个用户都有惟一的用户名、登录明码或拜访密钥。
云账户与 RAM 用户是一种奴才关系。
云账户(主账号):
1)阿里云资源归属、资源应用计量计费的根本主体
RAM 用户(子账号):
1)只能存在于某个云账户下的 RAM 实例中
2)不领有资源,在被受权操作时所创立的资源归属于主账户
3)RAM 用户不领有账单,被受权操作时所产生的费用也计入主账户账单。
用户群组:
如果多个用户的工作职责雷同,通过创立群组的形式来进行用户权限治理。
角色:
1)子用户和角色都能够指定一个受权策略,用来阐明这个子用户或角色可能拜访云资源的权限。
2)子用户,在 RAM 中能够为一个子用户设置明码和 AccessKey,而后通过用户名或明码来以这个子用户的身份登录阿里云治理控制台;或者应用这个子用户的 AccessKey,以这个子用户的身份拜访阿里云 OpenAPI。
3)角色,不能够设置明码和 AccessKey,然而能够设置可信实体。您能够在可信实体中定义哪些云服务或哪些云帐号下的子用户能够表演此角色,既以此角色的身份和权限来拜访您的云资源。
受权策略:
1)受权策略是一组权限的汇合,它以一种策略语言来形容。通过给用户或群组附加受权策略,用户或群组中的所有用户就能取得受权策略中指定的拜访权限。2)反对两种类型的受权策略:零碎受权策略和客户自定义受权策略。
3)反对策略版本治理,一个受权策略有多个版本能够应用。
受权拜访场景:
1)间接应用云账号拜访资源
2)应用 RAM 用户拜访资源
3)应用 STS 令牌拜访资源
STS:
阿里云 STS (Security Token Service) 是为阿里云账号(或 RAM 用户)提供短期拜访权限治理的云服务。通过 STS,您能够为联盟用户(您的本地账号零碎所治理的用户)颁发一个自定义时效和拜访权限的拜访凭证 (token 令牌)。联盟用户能够应用 STS 短期拜访凭证间接调用阿里云服务 API,或登录阿里云治理控制台操作被受权拜访的资源。
签名:
RAM 服务会对每个拜访的申请进行身份验证,所以无论应用 HTTP 还是 HTTPS 协定提交申请,都须要在申请中蕴含签名(Signature)信息。RAM 通过应用 Access Key ID 和 Access Key Secret 进行对称加密的办法来验证申请的发送者身份。Access Key ID 和 Access Key Secret 由阿里云官网颁发给访问者(能够通过阿里云官方网站申请和治理),其中 Access Key ID 用于标识访问者的身份;Access Key Secret 是用于加密签名字符串和服务器端验证签名字符串的密钥,必须严格窃密,只有阿里云和用户晓得。