基线检查
策略类型 支持的版本 支持的基线检查类型 应用场景 默认策略 高级版 企业版 旗舰版 该类型策略包含70+基线检查项,支持以下基线类型:Windows基线 未授权访问 最佳安全实践 弱口令 Linux基线 未授权访问 容器安全 最佳安全实践 弱口令 说明...
OSS私有Bucket回源
如果加速域名的源站使用的是阿里云对象存储OSS,并且OSS的Bucket被配置为私有模式(可以起到访问鉴权的作用,避免非授权的请求盗刷流量),该情况下建议您给加速域名开启OSS私有Bucket回源功能,可以实现通过 CDN 加速OSS私有Bucket资源。...
访问控制策略常见问题
新版堡垒机通过域名方式提供访问服务,可能面临外部用户在非授权的情况下访问堡垒机,从而获取对大量资产的访问权限。建议通过云防火墙实现用户对堡垒机域名的访问控制。如果客户购买了堡垒机和云防火墙,云防火墙的资产类型自动增加堡垒机...
访问控制角色(RamRole)
授权的时间点 本节将介绍何时完成对OOS授权的,在一个OOS作业流程中,根据任务执行运转所发生的时间节点,我们可以推断出对OOS的授权发生在创建执行成功之前,没错,实际上授权就是在创建模板或创建执行时完成的。在不同的授权场景下,完成...
安全白皮书
IP白名单是在以上访问认证基础上增强的一种访问控制,开启白名单功能时,仅允许白名单内的设备访问Hologres实例,非白名单内的设备访问时,即使拥有正确的AccessKey ID和AccessKey Secret,也无法通过鉴权,详细配置方式请参见 IP白名单。
Hologres服务关联角色
服务关联角色(ServiceLinkedRole,简称SLR)是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。如您需要使用Hologres来访问MaxCompute服务,则需要创建服务关联角色AliyunServiceRoleForHologresIdentityMgmt,本文...
密钥管理
为密钥访问设定访问控制策略 通常情况下,为防止非授权访问应限定访问密钥的方式、身份及策略。在云端应该限制授权范围和授权主体以及应用程序访问。使用RAM实现对KMS资源的 访问控制。使用KMS应用接入点实现对应用程序访问和接入 KMS实例...
配置用户权限
临时授权访问。创建自定义策略。具体操作,请参见 创建自定义权限策略。说明 如果需要更精细的权限控制,您可以自定义策略的权限。更多信息,请参见 基于RAM Policy的权限控制。授权RAM用户临时角色。具体操作,请参见 为RAM用户授权。从...
RAM和STS介绍
阿里云权限管理机制包括访问控制RAM(Resource Access Management)和阿里云STS(Security Token Service),可以根据需求使用不同权限的RAM用户来访问表格存储,也支持为用户提供访问的临时授权。使用RAM和STS能极大地提高管理的灵活性和...
为RAM用户配置权限
临时授权访问。创建自定义策略。具体操作,请参见 创建自定义权限策略。说明 如果需要更精细的权限控制,您可以自定义策略的权限。更多信息,请参见 基于RAM Policy的权限控制。授权RAM用户临时角色。具体操作,请参见 为RAM用户授权。从...
API 概览
权限设置中动态配置 USER_API 读/写 授权访问用户级别的接口 不允许动态配置,应用 默认授予 的权限 openid 读 OIDC 作用域,只有存在该 scope 的情况下,token endpoint 才会返回 id_token profile 读 授权读取用户的默认属性,比如:name...
OSS私有Bucket回源
如果加速域名的源站使用的是阿里云对象存储OSS,并且OSS的Bucket被配置为私有模式(可以起到访问鉴权的作用,避免非授权的请求盗刷流量),该情况下建议您给加速域名开启OSS私有Bucket回源功能,可以实现通过 DCDN 加速OSS私有Bucket资源。...
身份认证和访问控制
身份认证和访问控制包含两部分基本功能:认证和授权。认证即判断用户是否为能够访问集群的合法用户,授权负责管理指定用户对资源的访问权限。ACK集群的认证和授权 Kubernetes使用X.509证书、Bearer Tokens、身份验证代理或者OIDC认证等方式...
访问链接与端口
通过访问链接与端口功能,您可以方便地通过控制台方式访问集群中已安装开源组件Web UI的地址。本文将介绍如何设置安全组规则和访问链接,以便查看集群中开源组件的UI界面。前提条件 已创建E-MapReduce集群,详情请参见 创建集群。背景信息 ...
RAM用户常见问题
本文介绍了RAM用户常见问题,包括登录、费用和权限等问题。RAM用户登录地址和登录方式是什么?RAM用户登录地址:RAM用户登录地址。说明 通过登录 RAM控制台,在 概览 页可以快速查询登录RAM用户登录地址。当您使用此地址登录时,系统会为您...
堡垒机连接服务器相关问题
本文介绍 运维安全中心(堡垒机)连接服务器时的常见问题以及解决方案。通过堡垒机访问服务器公网地址失败,该如何解决?您可以通过以下方法进行排查:测试堡垒机与服务器的端口是否连通。具体操作,请参见 网络诊断。如若服务器端口号做过...
MaxCompute安全白皮书
ACL授权支持的授权方法是采用类似SQL92定义的GRANT/REVOKE命令进行授权,通过对应的授权命令来完成对已存在的项目空间对象的授权或撤销授权。每次权限管理操作均是对效果(授权、撤销)、对象(如表、资源等)、主体(用户或角色)、操作...
使用ASM授权策略试运行模式
对授权策略配置失误可能会引起非预期的访问被拒绝或放行。您可以使用ASM授权策略试运行模式,在不影响正式环境的情况下验证授权策略的正确性和可靠性,降低生产环境出现问题的风险,确保授权策略的顺利部署和运行。前提条件 已添加集群到...
使用ASM授权策略试运行模式
对授权策略配置失误可能会引起非预期的访问被拒绝或放行。您可以使用ASM授权策略试运行模式,在不影响正式环境的情况下验证授权策略的正确性和可靠性,降低生产环境出现问题的风险,确保授权策略的顺利部署和运行。前提条件 已添加集群到...
RAM角色概览
应用场景 临时授权访问 通常情况下,建议您通过服务端调用API,尽可能保证访问密钥不被泄露。但是有些上传文件的场景最好采用客户端直传的形式,避免服务端中转带来的多余开销。此时,可以由服务端下发临时安全令牌(STS Token),客户端...
访问控制
OSS可以通过阿里云STS进行临时授权访问。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。更多信息请参见OSS开发指南中的 使用STS临时访问凭证访问OSS。基于资源的授权策略...
常见问题
创建RAM用户,其后可根据自身业务需要,对不同的RAM用户进行授权映射,例如创建A和B两个RAM用户,可以通过RAM配置,控制两个RAM用户的资源管理、事件发布、监控运维等操作权限,也可以通过STS对外部用户进行临时授权访问。更多信息,请参见...
密钥管理服务如何与RAM协同工作
服务关联角色SLR(Service-linked role)是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。使用KMS的特定功能时,会触发用户授权自动创建服务关联角色并为角色授予对应的资源访问权限。创建完成后,KMS即可扮演此...
安全组管控
默认情况下,云电脑拒绝所有入方向的访问,允许所有出方向的访问,即默认已有一条允许所有访问的出方向规则。此时,您添加的出方向规则,将与默认规则产生冲突。根据云电脑所属的办公网络情况,您可能需要调整默认规则的优先级,以便您添加...
如何实现OAuth登录
权限管理模块可以实现对逻辑流的授权访问,可以控制哪些用户、角色或组织可以访问逻辑流。为了确保安全性,建议在调用三方登录Action时,仅授权给必要的用户或角色。在用户退出登录后,建议自动将访问令牌删除。其他安全注意事项 在使用...
基本概念
可信实体为阿里云服务的RAM角色:该角色主要用于解决跨云服务授权访问的问题,仅允许可信云服务扮演。具体操作,请参见 创建可信实体为阿里云服务的RAM角色 和 服务关联角色。可信实体为身份提供商的RAM角色:该角色主要用于实现与阿里云的...
授权管理FAQ
问题 鉴权失败常见问题 控制台提示没有权限,报错详情:ForbiddenQueryClusterNamespace Forbidden query namespaces 控制台提示没有权限,报错详情:APISERVER_403 控制台提示子账号不具备授权管理权限 根据错误信息判断是RAM授权问题还是...
授权管理FAQ
问题 鉴权失败常见问题 控制台提示没有权限,报错详情:ForbiddenQueryClusterNamespace Forbidden query namespaces 控制台提示没有权限,报错详情:APISERVER_403 控制台提示子账号不具备授权管理权限 根据错误信息判断是RAM授权问题还是...
使用VPC内资源作为API的后端服务
CLB黑白名单设置请参考负载均衡访问控制 ECS实例若设置了安全组,则需要在安全组中放行API网关的出口地址,ECS添加安全组规则请参考 添加安全组规则 API网关的出口地址获取详见 创建后端服务为VPC内资源的API 常见问题 1、是否支持公网CLB...
VPC融合专享实例
VPC授权,传统方式下,需要先新增VPC授权后,才可使用该授权访问VPC内资源,详见 使用VPC内资源作为API的后端服务。购买说明 如图所示为API网关专享实例的购买页面,在实例类型选择VPC融合专享实例后,可以为将要创建的VPC融合类型专享实例...
访问鉴权规则
} RDS访问授权 访问RDS有两个接口,tables和fields。由于访问RDS需要添加白名单,因此还需要再为RAM子账号设置白名单权限(如果没有该权限,连接RDS时会报错提示设置RDS的IP白名单失败)。RDS 的授权直接在 RAM控制台 配置,可以在概览页...
访问鉴权规则
} RDS访问授权 访问RDS有两个接口,tables和fields。由于访问RDS需要添加白名单,因此还需要再为RAM子账号设置白名单权限(如果没有该权限,连接RDS时会报错提示设置RDS的IP白名单失败)。RDS 的授权直接在 RAM控制台 配置,可以在概览页...
403错误
Access denied by bucket policy 问题原因:通过Bucket Policy的授权访问被拒绝。解决方案:请结合不同的使用场景灵活配置Bucket Policy。详情请参见 通过Bucket Policy授权用户访问指定资源。Access denied by VPC endpoint policy 问题...
创建可信实体为阿里云账号的RAM角色
操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。...设置角色信息。输入 角色名称。输入 备注。...具体操作,请参见 能否指定RAM用户具体可以扮演哪个RAM角色?...成功创建RAM角色后,该RAM...
IIS常见问题排查
概述 本文主要介绍使用阿里云ECS实例搭建IIS网站时,遇到的一些常见问题的处理方法。详细信息 说明 阿里云提醒您:如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。如果您对实例(包括但不限于ECS...
VPN网关如何与RAM协同工作
AliyunVpnAccessingIdaasRolePolicy 服务关联角色 服务关联角色是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。服务关联角色是与某个云服务关联的角色。多数情况下,在您使用特定功能时,关联的云服务会自动创建或...
安全组应用案例
优先级 协议类型 端口范围 授权对象 出方向 拒绝 2 全部 目的:1/-1 目的:0.0.0.0/0 出方向 允许 1 自定义TCP 目的:80/80 目的:47.96.XX.XX 出方向 允许 1 自定义TCP 目的:443/443 目的:121.199.XX.XX 说明 请根据实际情况替换网站的...
概述
更多信息,请参见 什么是访问控制。说明 RAM服务提供的权限的分割和管理,而并非资源本身的隔离,也就是RAM用户从属于主账号,并且这些子账号下不能拥有实际的任何资源,所有资源都属于主账号。如果想要进行资源隔离,可配合使用点播多应用...
注册局安全锁FAQ
资料无效 授权书内容不完整 请检查授权书,确保授权人、域名、授权时间、被授权人身份证、被授权人联系方式、指令邮箱等内容填写完整。资料缺失 未提交全部授权认证资料 请根据您的实际情况,进行以下操作:域名持有人为企业:需提供企业的...
VPC授权连通性测试
VPC授权连通性测试用于验证API网关实例到您授权的VPC中实例的网络连通性,有助于将API调试阶段由于网络连通问题引发的调用失败提前暴露。本文将重点介绍VPC授权连通性测试功能,以及如何根据排错引导解决连通性测试失败的情况。1.概述 VPC...
- 产品推荐
- 这些文档可能帮助您