对 RAM 账号进行应用级别的访问控制
本文介绍如何对 RAM 账号进行应用级别的访问控制。前提条件 已经注册了阿里云账号。如还未注册,请先完成 账号注册。已经创建了 RAM 账户。如还未创建,请先完成 创建 RAM 用户。操作步骤 为 RAM 用户添加 mPaaS 控制台访问权限。使用阿里...
对 RAM 账号进行组件级别的访问控制
本文介绍了如何对 RAM 用户进行组件级别的访问控制。组件级别的访问控制分为以下四种:授权所有组件 授权所有组件,但指定可用的应用 授权某一组件,并包含创建 workspace、创建应用以及删除应用的权限 授权某一组件,不包含创建 workspace...
AccessPageSetAcl-访问页面的访问控制管理
访问页面的访问控制管理。接口说明 对应云 Flow 控制台访问页面->访问管理功能。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API...
访问控制的审计事件
访问控制已与操作审计服务集成,您可以在操作审计中查询用户操作访问控制产生的管控事件。操作审计支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。操作审计记录了用户通过Open...
配置专有网络的访问控制
当您的ECS位于专有网络时,需要为企业版实例配置专有网络的访问控制,才能建立ECS与企业版实例之间的连接。本文介绍如何为企业版实例配置专有网络的访问控制。前提条件 在企业版实例所在的地域,已创建专有网络和交换机。具体操作,请参见 ...
使用RAM实现对资源的访问控制
密钥管理服务KMS(Key Management Service)通过访问控制RAM(Resource Access Management)实现对资源的访问控制。本文为您介绍KMS定义的资源类型、操作和策略条件。阿里云账号对自己的资源拥有完整的操作权限,RAM用户和RAM角色则需要...
使用负载均衡的访问控制功能
本文主要介绍阿里云负载均衡产品自身的访问控制能力。概述 负载均衡自身支持的访问控制策略包括:访问控制ACL ALB和CLB的监听支持启用访问控制功能。通过设置入方向的允许或拒绝规则,对客户端请求精确控制,管理请求转发。您可以针对不同...
配置集群API Server的访问控制策略
本文介绍如何通过配置私网SLB的监听实现API Server的访问控制。背景信息 负载均衡提供监听级别的访问控制。您可以在创建监听时配置访问控制,也可以在监听创建后修改或重新配置访问控制,更多信息请参见 访问控制。如您希望配置公网SLB实例...
配置集群API Server的访问控制策略
本文介绍如何通过配置私网CLB的监听实现API Server的访问控制。背景信息 负载均衡提供监听级别的访问控制。您可以在创建监听时配置访问控制,也可以在监听创建后修改或重新配置访问控制。更多信息,请参见 访问控制。如您希望配置公网CLB...
EnableInstanceAccessControl-设置实例上的访问控制
本功能为API网关专享实例提供实例级别的访问控制能力;设置实例上的访问控制。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应...
配置公网的访问控制
您可以通过配置公网的访问控制策略,来实现远程安全地管理和访问容器镜像企业版实例。前提条件 企业版实例创建后,默认不允许通过公网访问。因此在配置公网的访问控制策略前,需要先打开公网的访问入口。说明 在打开访问入口之后,会默认...
修改VPC防火墙策略组的访问控制策略
修改指定VPC防火墙策略组的访问控制策略的配置信息。接口说明 本接口一般用于修改指定 VPC 防火墙策略组的访问控制策略的配置信息。防护每个云企业网的 VPC 防火墙实例和防护每个高速通道的 VPC 防火墙实例使用不同的访问控制策略。QPS ...
访问控制服务条款
欢迎您使用阿里云访问控制服务。访问控制服务使用条款,请参见 访问控制(Resource Access Management)服务条款。
支持RAM的云服务
本文为您介绍支持访问控制(RAM)的阿里云服务,并提供每个云服务支持的授权粒度、系统策略以及相关文档,方便您查询和使用。概览 本文的每个表格包含以下信息:云服务:支持RAM的云服务的名称。子服务/子模块:云服务下的子服务或子模块。...
通过RAM限制用户的访问方式
RAM可以限制用户只能通过指定的访问方式访问企业的云资源,从而增强访问安全性。前提条件 创建自定义权限策略前,您需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。背景信息 企业A...
修改RAM角色的信任策略
操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击目标RAM角色名称。在 信任策略 页签,单击 编辑信任策略。修改信任策略内容,然后单击 保存信任策略。示例一:修改RAM角色的可信实体为阿里云...
通过RAM限制用户的访问时间段
RAM可以限制用户只能在指定的时间段访问企业的云资源,从而增强访问安全性。前提条件 创建自定义权限策略前,您需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。背景信息 企业A购买了...
设置RAM用户密码强度
操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 身份管理>设置。在 安全设置 页签,单击 修改密码规则,配置相关参数。密码长度:密码长度范围为8~32位。说明 为了提高账号安全性,建议至少设置8位以上的密码长度。密码中必须...
设置RAM用户密码强度
操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 身份管理>设置。在 安全设置 页签,单击 修改密码规则,配置相关参数。密码长度:密码长度范围为8~32位。说明 为了提高账号安全性,建议至少设置8位以上的密码长度。密码中必须...
删除RAM用户的AccessKey
当RAM用户不再需要通过API或其他开发工具访问阿里云资源时,可以删除该RAM用户的访问密钥(AccessKey)。RAM提供了回收站功能,删除RAM用户的AccessKey时,会先将AccessKey移入回收站,然后再从回收站中定期自动清理AccessKey或您手动清理...
通过RAM限制用户的访问IP地址
RAM可以限制用户只能通过指定的IP地址访问企业的云资源,从而增强访问安全性。前提条件 创建自定义权限策略前,您需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。背景信息 企业A购买...
通过RAM限制只有启用了MFA的RAM用户才能访问云资源
本文介绍如何通过RAM限制只有启用了多因素认证(MFA)的RAM用户才能访问云资源,例如:ECS。前提条件 创建自定义策略前,需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。操作前,请在...
查看RAM用户的AccessKey信息
本文为您介绍如何查看RAM用户的访问密钥(AccessKey)信息,包括AccessKey ID、状态、最后使用云服务及创建时间等。AccessKey Secret只在创建时显示,不支持查看。RAM管理员查看所有RAM用户的AccessKey信息 阿里云账号(主账号)或RAM管理...
清理RAM用户的闲置AccessKey
RAM用户的闲置AccessKey是指RAM拥有AccessKey,但从未使用过或超过90天未使用过。建议您定期清理RAM用户的闲置AccessKey。风险说明 RAM用户的AccessKey具备访问阿里云OpenAPI的能力,在外部暴露的时间越长,则泄露风险越高。一旦泄露,则有...
GetUser-查询RAM用户的详细信息
20732900249392*UserAccessKeyId string 否 RAM 用户的访问密钥 ID。说明 必须指定 UserPrincipalName、UserId 和 UserAccessKeyId 三个参数中的一个参数,但不能同时指定。LTAI4GFTgcR8m8cZQDTH*关于公共请求参数的详情,请参见 公共参数...
创建可信实体为阿里云账号的RAM角色
可信实体的RAM用户通过控制台或API扮演角色并获取角色的安全令牌(STS Token),然后以RAM角色身份访问对应的云资源。具体操作,请参见 扮演RAM角色。相关文档 CreateRole-创建角色 跨阿里云账号的资源授权 移动应用使用临时安全令牌访问...
通过操作审计查看RAM的操作事件
操作审计可以追踪并记录阿里云账号、RAM用户或RAM角色在RAM上的操作事件,本文为您介绍如何通过操作审计查看RAM的操作事件。背景信息 操作审计追踪并记录的RAM操作事件示例如下:IMS STS RAM用户登录事件 关于操作事件字段的含义,请参见 ...
创建可信实体为阿里云服务的RAM角色
可信实体为阿里云服务的RAM角色主要用于解决跨云服务授权访问的问题。该RAM角色允许可信的阿里云服务扮演。服务角色分类 普通服务角色:您需要自定义角色名称,选择受信服务,并自定义权限策略。服务关联角色:您只需选择可信的云服务,...
扮演RAM角色时的权限策略判定流程
当可信实体通过阿里云控制台、API或CLI扮演RAM角色时,需要执行权限策略的判定流程,根据判定结果决定是否允许扮演RAM角色(AssumeRole)。本文为您介绍扮演RAM角色时的权限策略判定流程。说明 扮演RAM角色时的权限策略判定流程,遵从阿里...
RAM角色和STS Token常见问题
请为该RAM用户添加系统策略(AliyunSTSAssumeRoleAccess)或自定义策略。更多信息,请参见 为RAM用户授权 或 能否指定RAM用户具体可以扮演哪个RAM角色。RAM角色的信任策略不包含您正在使用的RAM用户,即RAM角色不允许该RAM用户扮演。请为...
如何限制RAM用户管理指定的ECS实例?
您可以为ECS实例绑定标签,然后创建自定义策略并为RAM用户授权,利用标签控制RAM用户对ECS实例的访问。该方式不能使用系统策略,只能在自定义策略中通过 条件(Condition)指定授权的标签,使用灵活,授权粒度细,但是,您需要掌握自定义...
创建可信实体为身份提供商的RAM角色
可信实体为身份提供商的RAM角色主要用于实现企业IdP与阿里云的单点登录(角色SSO)。该RAM角色允许可信的身份提供商下的用户扮演。前提条件 请确保您已创建了身份提供商:SAML身份提供商:具体操作,请参见 管理SAML身份提供商。OIDC身份...
ListUsers-查询所有RAM用户的详细信息
访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。资源类型:是指操作中支持授权的资源类型。具体说明如下:对于必选的资源类型,用背景高亮的方式表示。对于不支持资源级授权的操作,用 全部资源 ...
ListGroupsForUser-查询RAM用户加入的用户组列表
访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。资源类型:是指操作中支持授权的资源类型。具体说明如下:对于必选的资源类型,用背景高亮的方式表示。对于不支持资源级授权的操作,用 全部资源 ...
ListUsersForGroup-查询用户组内的RAM用户列表
访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。资源类型:是指操作中支持授权的资源类型。具体说明如下:对于必选的资源类型,用背景高亮的方式表示。对于不支持资源级授权的操作,用 全部资源 ...
AddUserToGroup-将RAM用户添加到指定的用户组
访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。资源类型:是指操作中支持授权的资源类型。具体说明如下:对于必选的资源类型,用背景高亮的方式表示。对于不支持资源级授权的操作,用 全部资源 ...
终端访问控制系统的审计事件
终端访问控制系统已与操作审计服务集成,您可以在操作审计中查询用户操作终端访问控制系统产生的管控事件。操作审计支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题回溯分析等需求。操作审计记录...
将有Admin权限的RAM身份的授权收敛到资源组
风险说明 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过将云上资源按照应用、环境等维度,使用资源组进行资源划分,授权时可以按照资源组进行授权,进一步缩小权限范围,避免权限过大带来的风险。风险等级 高风险。...
使用标签限制RAM用户管理指定的ECS实例
您可以为ECS实例绑定标签,然后通过RAM的自定义策略指定授权的标签,利用标签限制RAM用户只能查看和管理指定的ECS实例。背景信息 自定义策略中是通过 条件(Condition)指定授权的标签。标签支持的Condition如下:acs:RequestTag/<tag-key>...
存在RAM资源导致无法注销阿里云账号的问题
但存在以下两种例外情况:通过RAM控制台为RAM用户启用虚拟MFA时,当进入了绑定虚拟MFA设备的页面(包括RAM管理员为RAM用户绑定和RAM用户自主绑定),但一直未完成绑定的情况下,会产生额外的虚拟MFA设备。通过 CreateVirtualMFADevice API...
- 产品推荐
- 这些文档可能帮助您