通过操作审计查看RAM的操作事件
操作审计可以追踪并记录阿里云账号、RAM用户或RAM角色在RAM上的操作事件,本文为您介绍如何通过操作审计查看RAM的操作事件。背景信息 操作审计追踪并记录的RAM操作事件示例如下:IMS STS RAM用户登录事件 关于操作事件字段的含义,请参见 ...
通过RAM对操作审计进行权限管理
AliyunActionTrailReadOnlyAccess:只读访问操作审计的权限。当系统策略不能满足您的需求时,您可以创建自定义策略。使用RAM对操作审计进行授权前,请先了解操作审计的权限定义。更多信息,请参见 RAM鉴权。操作步骤 创建RAM用户。具体操作...
ChangePassword-RAM用户修改自己的登录密码
操作 访问级别 资源类型 条件关键字 关联操作 ram:ChangePassword Write User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 OldPassword string 是 RAM 用户的控制台登录旧密码。mypassword ...
通过RAM对OSS进行权限管理
myphotos/hangzhou/2015/*"]},{"Effect":"Allow","Action":["oss:ListObjects"],"Resource":["acs:oss:*:*:myphotos"],"Condition":{"StringLike":{"oss:Prefix":"hangzhou/2015/*"} } }]} 场景3:授予RAM用户使用OSS控制台访问目录。...
SetPasswordPolicy-设置RAM用户密码强度策略
操作 访问级别 资源类型 条件关键字 关联操作 ram:SetPasswordPolicy Write 全部资源*无 无 请求参数 名称 类型 必填 描述 示例值 MinimumPasswordLength integer 否 最小密码长度。取值范围:8~32。默认值:8。8 ...
避免为过多RAM身份授予Admin权限
风险说明 针对RAM身份的权限管理,建议遵循最小化原则,仅授予...针对程序身份,非必要不授予Admin权限,建议根据程序所需要访问的API和资源等创建自定义权限策略,精细化授权。具体操作,请参见 创建自定义权限策略。治理难度 治理难度中。
使用 IDaaS 同步LDAP/钉钉账户至 RAM
一、开通 IDaaS 实例 访问 阿⾥云 IDaaS 管理控制台,也可通过产品与服务导航,定位到应⽤身份服务,单击进⼊应⽤身份服务管理控制台。点击免费创建实例。二、AD 数据同步到 IDaaS 本文以 AD 作为示例,实际对接的时候请根据您企业的实情...
CreateLoginProfile-开启指定RAM用户的控制台登录
操作 访问级别 资源类型 条件关键字 关联操作 ram:CreateLoginProfile Write User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。test@example....
UpdateLoginProfile-修改RAM用户的控制台登录信息
修改指定RAM用户的控制台登录信息。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 ...
UpdateAccessKey-更新RAM用户访问密钥的状态
调用UpdateAccessKey接口更新RAM用户访问密钥的状态。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM...
ListUserBasicInfos-查询所有RAM用户的基本信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:ListUserBasicInfos List User acs:ram:{#accountId}:user/*无 无 请求参数 名称 类型 必填 描述 示例值 Marker string 否 当请求的返回结果被截断时,可以使用 Marker 获取从当前截断位置...
GetLoginProfile-查询指定RAM用户的登录信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:GetLoginProfile Read User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。test@example.onaliyun...
DeleteLoginProfile-关闭指定RAM用户的控制台登录
删除RAM用户的控制台登录配置。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action ...
创建可信实体为阿里云账号的RAM角色
可信实体的RAM用户通过控制台或API扮演角色并获取角色的安全令牌(STS Token),然后以RAM角色身份访问对应的云资源。具体操作,请参见 扮演RAM角色。相关文档 CreateRole-创建角色 跨阿里云账号的资源授权 移动应用使用临时安全令牌访问...
创建可信实体为阿里云服务的RAM角色
可信实体为阿里云服务的RAM角色主要用于解决跨云服务授权访问的问题。该RAM角色允许可信的阿里云服务扮演。服务角色分类 普通服务角色:您需要自定义角色名称,选择受信服务,并自定义权限策略。服务关联角色:您只需选择可信的云服务,...
DeleteLoginProfile-关闭RAM用户登录Web控制台功能
关闭指定RAM用户登录Web控制台的功能。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 ...
扮演RAM角色时的权限策略判定流程
当可信实体通过阿里云控制台、API或CLI扮演RAM角色时,需要执行权限策略的判定流程,根据判定结果决定是否允许扮演RAM角色(AssumeRole)。本文为您介绍扮演RAM角色时的权限策略判定流程。说明 扮演RAM角色时的权限策略判定流程,遵从阿里...
GetSecurityPreference-查询RAM用户全局安全首选项
操作 访问级别 资源类型 条件关键字 关联操作 ram:GetSecurityPreference Read 全部资源*无 无 请求参数 名称 类型 必填 描述 示例值 当前API无需请求参数 关于公共请求参数的详情,请参见 公共参数。返回参数 名称 类型 描述 示例值 ...
ListUsers-查询所有RAM用户的详细信息
This is a cloud computing engineer.LastLoginDate string RAM 用户最近一次登录控制台的时间(时间戳)。1692598367586 CreateDate string RAM 用户的创建时间(UTC 时间)。2020-08-25T09:23:57Z ProvisionType string 同步类型。取值:...
RemoveUserFromGroup-将RAM用户从用户组中移除
操作 访问级别 资源类型 条件关键字 关联操作 ram:RemoveUserFromGroup Write Group acs:ram:{#accountId}:group/{#GroupName} User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName ...
GetPasswordPolicy-查询RAM用户密码强度策略信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:GetPasswordPolicy Read 全部资源*无 无 请求参数 名称 类型 必填 描述 示例值 当前API无需请求参数 返回参数 名称 类型 描述 示例值 object RequestId string 请求 ID。BDAA8408-E67C-428...
RemoveUserFromGroup-将RAM用户从用户组中移除
A07EF215-B9B3-8CB2-2899-3F9575C6E320 示例 正常返回示例 JSON 格式 {"RequestId":"A07EF215-B9B3-8CB2-2899-3F9575C6E320"} 错误码 访问 错误中心 查看更多错误码。变更历史 变更时间 变更内容概要 操作 暂无变更历史
如何限制RAM用户管理指定的ECS实例?
您可以为ECS实例绑定标签,然后创建自定义策略并为RAM用户授权,利用标签控制RAM用户对ECS实例的访问。该方式不能使用系统策略,只能在自定义策略中通过 条件(Condition)指定授权的标签,使用灵活,授权粒度细,但是,您需要掌握自定义...
UnbindMFADevice-为RAM用户解绑多因素认证设备
操作 访问级别 资源类型 条件关键字 关联操作 ram:UnbindMFADevice Write User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。test@example....
RAM用户不能同时启用两个AccessKey
操作步骤如下:在RAM控制台,创建一个新的RAM用户。具体操作,请参见 创建RAM用户。为新的RAM用户授权。为新的RAM用户添加与原来RAM用户相同的权限,或者针对应用情况授予最小化权限,即只添加该应用所需要的权限。具体操作,请参见 为RAM...
GetLoginProfile-查看一个RAM用户的登录配置
操作 访问级别 资源类型 条件关键字 关联操作 ram:GetLoginProfile Read User acs:ram:*:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserName string 是 指定用户名。zhangq*返回参数 名称 类型 描述 示例...
ListUsersForGroup-查询用户组内的RAM用户列表
操作 访问级别 资源类型 条件关键字 关联操作 ram:ListUsersForGroup List Group acs:ram:{#accountId}:group/{#GroupName} 无 无 请求参数 名称 类型 必填 描述 示例值 GroupName string 是 用户组名称。Test-Team Marker string 否 查询...
CreateAccessKey-创建主账号或RAM用户访问密钥
操作 访问级别 资源类型 条件关键字 关联操作 ram:CreateAccessKey Write User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 否 RAM 用户的登录名称。如果为空,默认为当前...
ListGroupsForUser-查询RAM用户加入的用户组列表
操作 访问级别 资源类型 条件关键字 关联操作 ram:ListGroupsForUser List User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。test@example....
SetSecurityPreference-设置RAM用户的全局安全首选项
操作 访问级别 资源类型 条件关键字 关联操作 ram:SetSecurityPreference Write 全部资源*ram:MFAOperationForLogin 无 请求参数 名称 类型 必填 描述 示例值 EnableSaveMFATicket boolean 否 RAM 用户使用多因素认证登录后,是否允许保存...
BindMFADevice-为RAM用户绑定多因素认证设备
操作 访问级别 资源类型 条件关键字 关联操作 ram:BindMFADevice Write User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 SerialNumber string 是 多因素认证设备的序列号。说明 您可以调用 ...
创建可信实体为身份提供商的RAM角色
使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建角色 页面,选择可信实体类型为 身份提供商,然后单击 下一步。输入 角色名称 和 备注。选择身份提供商类型为 SAML。选择身份提供商...
GetPasswordPolicy-获取RAM用户密码强度等策略信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:GetPasswordPolicy Read 全部资源*无 无 请求参数 名称 类型 必填 描述 示例值 当前API无需请求参数 返回参数 名称 类型 描述 示例值 object RequestId string 请求 ID。04F0F334-1335-436...
通过SCIM协议同步Okta用户到阿里云RAM
通过SCIM 2.0标准协议,结合阿里云OAuth应用的安全授权,您可以将Okta中的用户同步到阿里云访问控制(RAM)中。前提条件 本文中所有RAM控制台的操作,请使用阿里云账号(主账号)、RAM管理员或具有OAuth管理权限的RAM用户完成。本文中所有...
SetPasswordPolicy-设置RAM用户密码强度等策略信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:SetPasswordPolicy Write 全部资源*无 无 请求参数 名称 类型 必填 描述 示例值 MinimumPasswordLength integer 否 最小密码长度。取值范围:8~32。默认值:8。12 ...
AddUserToGroup-将RAM用户添加到指定的用户组
操作 访问级别 资源类型 条件关键字 关联操作 ram:AddUserToGroup Write Group acs:ram:{#accountId}:group/{#GroupName} User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName ...
AddUserToGroup-将RAM用户添加到指定的用户组
操作 访问级别 资源类型 条件关键字 关联操作 ram:AddUserToGroup Write Group acs:ram:*:{#accountId}:group/{#GroupName} User acs:ram:*:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserName string 是 ...
避免为过多RAM身份授予费用中心高危权限
风险说明 针对RAM身份的权限管理,建议遵循最小化原则,仅授予...针对程序身份,非必要不授予BSS相关权限,建议根据程序所需要访问的API和资源等创建自定义权限策略,精细化授权。具体操作,请参见 创建自定义权限策略。治理难度 治理难度中。
使用标签限制RAM用户管理指定的ECS实例
在 RAM控制台,创建RAM用户(Alice)。具体操作,请参见 创建RAM用户。为ECS实例绑定标签。本示例中,需要为ECS实例绑定标签 owner:alice 和 environment:production。以下两种绑定标签的方法您可以任选其一:在 标签控制台 绑定标签:创建...
使用资源组限制RAM用户管理指定的ECS实例
在 RAM控制台,创建RAM用户(Alice)。具体操作,请参见 创建RAM用户。在 资源管理控制台,创建资源组(ECS-Admin)。具体操作,请参见 创建资源组。在 资源管理控制台,将ECS实例(i-001)加入资源组(ECS-Admin)。ECS实例加入资源组有...
- 产品推荐
- 这些文档可能帮助您