为RAM用户绑定MFA设备
重要 如果您要为RAM用户更换新的MFA设备,请先前往RAM控制台解绑当前的MFA设备,再绑定新的MFA设备。具体操作,请参见 为RAM用户解绑多因素认证设备。如果RAM用户在未解绑MFA设备的状态下卸载了MFA应用(阿里云应用)或RAM用户的U2F安全...
STS Python SDK调用示例
登录 RAM访问控制,创建一个RAM用户。具体操作,请参见 创建RAM用户。凭证 进入到对应的 RAM用户 详情页,在 认证管理 页签下的 用户AccessKey 区域,单击 创建AccessKey,创建一个新的AccessKey。具体操作,请参见 创建AccessKey。重要 ...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(RAM)为RAM权限策略定义...
通过SCIM协议将企业内部账号同步到阿里云RAM
阿里云通过SCIM标准协议,结合OAuth应用的安全授权,可以将企业内部系统中的账号数据同步到阿里云访问控制(RAM)中。前提条件 您的阿里云账号或RAM用户有创建OAuth应用的权限。您的阿里云账号或RAM用户有为ServerApp授权的权限,且您仅能...
基本概念
身份(Identity)访问控制(RAM)中有三种身份:RAM用户、用户组和RAM角色。其中RAM用户和用户组是RAM的一种实体身份类型,RAM角色是一种虚拟用户身份。默认域名(Default domain name)阿里云为每个阿里云账号分配了一个 默认域名,格式为...
计费方法
本文为您介绍访问控制(RAM)的计费方法。访问控制(RAM)为免费产品,只要经过实名认证的阿里云账号就可以直接使用,该产品暂不支持关闭。实名认证的详情请参见:个人实名认证、企业实名认证。icmsDocProps={'productMethod':'created','...
扮演RAM角色
例如:外部IdP中的用户tom@example.local通过RAM角色test-saml-role1登录到控制台,这时当前身份为test-saml-role1/tom@example.local,然后再次使用角色alice-testrole切换身份,此次当前身份为alice-testrole/tom@example.local,其中...
使用云SSO实现多账号场景下的身份权限管理
为了实现这一目标,云SSO提供了独立于RAM的身份目录,但其权限管理复用了RAM中的系统策略和自定义策略语法。此外,云SSO用户对RD账号的访问,本质上是云SSO用户扮演每个RD账号中的RAM角色进行的再一次单点登录。更多信息,请参见 什么是云...
修改RAM角色的信任策略
操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击目标RAM角色名称。在 信任策略 页签,单击 编辑信任策略。修改信任策略内容,然后单击 保存信任策略。示例一:修改RAM角色的可信实体为阿里云...
删除自定义权限策略
前提条件 删除权限策略前,应保证当前权限策略未被引用(即未授予RAM用户、用户组或RAM角色)。若该权限策略已被引用,您需要在该权限策略的引用记录中移除授权。更多信息,请参见 管理权限策略引用记录。操作步骤 使用阿里云账号登录 RAM...
进行角色SSO时企业IdP的SAML配置
进行角色SSO时,为了建立企业IdP对阿里云的信任,需要在企业IdP中配置阿里云为可信SAML服务提供商(SP)。操作步骤 从阿里云获取SAML服务提供商元数据URL。URL为 https://signin.aliyun.com/saml-role/sp-metadata.xml 。在企业IdP中创建...
使用Azure AD进行角色SSO的示例
三个角色的值分别为:acs:ram:<Account1_ID>:role/adminaad,acs:ram:<Account1_ID>:saml-provider/AAD acs:ram:<Account1_ID>:role/readaad,acs:ram:<Account1_ID>:saml-provider/AAD acs:ram:<Account2_ID>:role/financeaad,acs:ram:...
资源分组和授权
当您在阿里云上拥有多个资源,并希望限制用户只能查看和管理部分资源时,您可以使用资源组对资源进行分组,然后使用阿里云RAM创建RAM用户,并对RAM用户授予资源组范围内的权限。背景信息 游戏公司A正在开发3个游戏项目,每个游戏项目都会...
查看权限策略基本信息
操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 权限管理>权限策略。在 权限策略 页面,从 策略类型 列表中,选择策略类型。在搜索框中,输入目标权限策略名称或备注进行模糊搜索,然后单击目标权限策略名称。在 基本信息 ...
存在RAM资源导致无法注销阿里云账号的问题
但存在以下两种例外情况:通过RAM控制台为RAM用户启用虚拟MFA时,当进入了绑定虚拟MFA设备的页面(包括RAM管理员为RAM用户绑定和RAM用户自主绑定),但一直未完成绑定的情况下,会产生额外的虚拟MFA设备。通过 CreateVirtualMFADevice API...
什么是访问控制
访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。功能特性 统一管理访问身份及权限 集中式访问控制 集中管理RAM用户:管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA...
多因素认证(MFA)常见问题
在RAM用户控制台登录设置中,将 MFA多因素认证 设置为 需要开启MFA认证。具体操作,请参见 创建RAM用户 或 管理RAM用户登录设置。经过以上设置后,RAM用户登录控制台时会先要求绑定MFA设备,绑定成功后,后续登录时会要求输入MFA安全码。...
进行用户SSO时阿里云SP的SAML配置
后续步骤 完成SAML配置后,选择以下一种方法创建与企业IdP相匹配的RAM用户:登录RAM控制台手动创建与企业IdP匹配的RAM用户,详情请参见 创建RAM用户。使用RAM SDK编写程序或阿里云CLI来创建RAM用户,详情请参见 CreateUser。
管理OIDC身份提供商
在创建OIDC身份提供商时配置该客户端ID,然后在使用OIDC令牌换取STS Token时,阿里云会校验OIDC令牌中 aud 字段所携带的客户端ID与OIDC身份提供商中配置的客户端ID是否一致。只有一致时,才允许扮演角色。如果您有多个应用需要访问阿里云,...
通过RAM限制用户的访问方式
RAM可以限制用户只能通过指定的访问方式访问企业的云资源,从而增强访问安全性。前提条件 创建自定义权限策略前,您需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。背景信息 企业A...
使用 IDaaS 同步LDAP/钉钉账户至 RAM
一、开通 IDaaS 实例 访问 阿⾥云 IDaaS 管理控制台,也可通过产品与服务导航,定位到应⽤身份服务,单击进⼊应⽤身份服务管理控制台。点击免费创建实例。二、AD 数据同步到 IDaaS 本文以 AD 作为示例,实际对接的时候请根据您企业的实情...
通过RAM限制用户的访问时间段
RAM可以限制用户只能在指定的时间段访问企业的云资源,从而增强访问安全性。前提条件 创建自定义权限策略前,您需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。背景信息 企业A购买了...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(IMS)为RAM权限策略定义...
通过RAM限制用户的访问IP地址
RAM可以限制用户只能通过指定的IP地址访问企业的云资源,从而增强访问安全性。前提条件 创建自定义权限策略前,您需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。背景信息 企业A购买...
RAM角色和STS Token常见问题
策略示例如下所示:{"Statement":[{"Action":"sts:AssumeRole","Effect":"Allow","Resource":"acs:ram:*:<account-id>:role/<role-name>"}],"Version":"1"} 说明 上述自定义策略中的 Resource 为角色ARN,其中,为阿里云账号ID,为RAM角色...
创建应用
您可以通过OAuth来创建Web应用、Native应用或Server应用,从而获取用户信息或访问阿里云API。背景信息 如果应用提供商要同时向中国站、国际站的用户提供服务,需要使用中国站、国际站账号分别创建应用。操作步骤 使用阿里云账号登录 RAM...
集成概览
本文为您介绍访问控制OpenAPI的基本信息。关于如何使用阿里云OpenAPI,请参见 使用OpenAPI。总览 访问控制的OpenAPI包括:IMS(Identity Management Service)OpenAPI、RAM(Resource Access Management)OpenAPI和STS(Security Token ...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(RAM)为RAM权限策略定义...
AccessKey泄露处理方案
建议限制的高风险权限,例如:禁止该RAM用户在访问控制(RAM)中创建新的RAM用户及授权,禁止ECS、RDS、OSS、SLS资源的释放,禁止发送短信等。以下提供一个禁用高风险权限的自定义权限策略示例,请您充分评估影响,根据业务情况设置。{...
访问密钥(AccessKey)常见问题
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。创建AccessKey后,可以查看哪些信息?创建AccessKey后,您可以再次查看AccessKey ID、状态、最后使用时间...
RAM用户组概览
RAM用户组是RAM的一种实体身份类型,RAM用户组可以对职责相同的RAM用户进行分类并授权,从而更高效地管理RAM用户及其权限。应用场景 在RAM用户职责发生变化时,只需将其移动到相应职责的RAM用户组下,不会对其他RAM用户产生影响。当RAM用户...
使用OneLogin进行角色SSO的示例
步骤三:在阿里云创建RAM角色 在RAM控制台的左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建角色 面板,选择可信实体类型为 身份提供商,单击 下一步。输入 角色名称(例如:Reader-OneLogin)和 备注。选择身份...
权限策略概览
新建的RAM用户默认没有任何操作权限,只有在被授权之后,才能通过控制台和RAM操作资源。资源创建者(RAM用户)默认对所创建资源没有任何权限。RAM用户被授予创建资源的权限,用户将可以创建资源。RAM用户默认对所创建资源没有任何权限,...
AliyunBeianFullAccess
AliyunBeianFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunBeianFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 管理阿里云备案(ICP)平台及BSN控制台的权限。策略详情 类型:系统策略 创建时间...
使用资源组限制RAM用户管理指定的ECS实例
本文为您介绍如何使用阿里云RAM和资源组对ECS实例进行分组并授权,限制RAM用户只能查看和管理被授权ECS实例的需求。操作步骤 以下将提供一个示例,仅允许RAM用户(Alice)查看和管理ECS实例(i-001),无权查看和管理其他ECS实例。您可以将...
AliyunPrivatelinkEndpointFullAccess
AliyunPrivatelinkEndpointFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunPrivatelinkEndpointFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 管理私网连接终端节点(PrivateLink Endpoint)的...
管理RAM用户安全设置
即当RAM用户登录控制台进行敏感操作时,会触发风控拦截,要求其进行二次MFA身份验证。更多信息,请参见 敏感操作二次身份验证。依赖每个用户的独立配置:遵从每个RAM用户自身配置的多因素认证要求。更多信息,请参见 管理RAM用户登录设置。...
AliyunPrivatelinkEndpointServiceFullAccess
AliyunPrivatelinkEndpointServiceFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunPrivatelinkEndpointServiceFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 管理私网连接终端节点服务...
使用Shibboleth进行用户SSO的示例
步骤七:在阿里云创建RAM用户 在RAM控制台的左侧导航栏,选择 身份管理>用户。在 用户 页面,单击 创建用户。在 创建用户 页面,输入 登录名称 和 显示名称。说明 请确保RAM用户的登录名称前缀与Shibboleth中的用户名Email前缀保持一致,本...
API概览
本产品(访问控制 身份管理/2019-08-15)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用...
- 产品推荐
- 这些文档可能帮助您