管理SAML身份提供商
在使用SAML角色SSO时,需要创建身份提供商。本文为您介绍如何创建、查看、修改和删除SAML身份提供商。创建SAML身份提供商 创建SAML身份提供商前,请确保已获取到企业IdP...警告 删除SAML身份提供商后,企业将无法与阿里云RAM进行SAML角色SSO。
多因素认证(MFA)常见问题
在RAM用户控制台登录设置中,将 MFA多因素认证 设置为 需要开启MFA认证。具体操作,请参见 创建RAM用户 或 管理RAM用户登录设置。经过以上设置后,RAM用户登录控制台时会先要求绑定MFA设备,绑定成功后,后续登录时会要求输入MFA安全码。...
查看应用基本信息
本文为您介绍如何查看应用基本信息,包括...操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 集成管理>OAuth应用(公测)。在 企业应用 页签,单击目标应用名称。在 基本信息 区域,查看 应用名称、显示名称 和 应用类型 等信息。
AliyunDataQReadOnlyAccess
AliyunDataQReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunDataQReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问DataQ管理控制台。策略详情 类型:系统策略 创建时间:2024-04-...
获取身份权限治理检测报告
操作步骤 使用阿里云账号或具有管理权限(AliyunRAMFullAccess)的RAM用户登录 RAM控制台。在左侧导航栏,单击 概览。在 概览 页签下的 治理检测 区域,查看身份权限治理的检测数据。单击 下载报告,下载检测数据到本地查看。
通过RAM管控多运维人员的权限
当您的企业涉及多种运维需求时,通过RAM对不同的运维人员授予不同的权限,方便管理和控制。背景信息 某企业购买了大量的阿里云服务,并将应用系统部署在云上,因此涉及多种运维需求:不同的运维人员需要管理不同的阿里云服务。不同的运维...
创建AccessKey
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会...
设置RAM角色最大会话时间
您可以通过控制台或API设置RAM角色的最大会话时间。RAM角色最大会话时间设置成功后,当您使用RAM角色完成一些耗时较长的任务时,可以获得较长的登录会话时间;当您使用STS API扮演RAM角色时,可以获取较长的STS Token有效期。使用限制 RAM...
创建AccessKey
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会...
创建RAM角色并授权
RAM角色是一种虚拟用户,可以被授予一组权限策略。...扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就...通过控制台扮演RAM角色 通过调用API扮演RAM角色 可信实体通过角色身份访问被授权的云资源。
RAM角色概览
本文为您介绍RAM角色的定义、分类、应用场景、基本概念、使用流程和使用限制。...通过控制台扮演RAM角色 通过调用API扮演RAM角色 可信实体通过角色身份访问被授权的云资源。使用限制 关于RAM角色的使用限制,请参见 使用限制。
使用限制
限制项 最大值 RAM用户 一个阿里云账号中的RAM用户个数 5000 RAM用户名称的字符数 64 一个RAM用户允许加入的用户组个数 10 一个RAM用户允许创建的访问密钥个数 2 一个RAM用户允许绑定的多因素认证设备个数 1 一个RAM用户允许绑定的系统策略...
为RAM用户移除权限
方式一:在RAM用户页面移除RAM用户的权限 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>用户。在 用户 页面,单击目标RAM用户名称。单击 权限管理 页签,然后单击目标权限策略 操作 列的 解除授权。在 解除授权 对话框,单击...
资源分组和授权
当您在阿里云上拥有多个资源,并希望限制用户只能查看和管理部分资源时,您可以使用资源组对资源进行分组,然后使用阿里云RAM创建RAM用户,并对RAM用户授予资源组范围内的权限。背景信息 游戏公司A正在开发3个游戏项目,每个游戏项目都会...
如何调整登录会话时长或临时访问凭证有效期?
RAM角色扮演 控制台切换身份 登录会话时长限制 在控制台上通过切换角色方式扮演RAM角色时,切换到RAM角色身份后,登录会话时长受以下配置的限制:RAM用户安全策略中的 登录会话的过期时间。更多信息,请参见 管理RAM用户安全设置。被扮演...
清理闲置RAM用户
闲置RAM用户是指启用了控制台登录方式,但从未登录过控制台的RAM用户或超过90天未登录控制台的RAM用户,建议您定期清理闲置RAM用户。风险说明 RAM用户启用控制台登录时会设置登录密码。时间越长,密码暴露的风险就越高,一旦密码泄露,攻击...
管理第三方应用授权
查看授权 第三方应用授权完成后,用户可以在RAM控制台查看已授权的第三方应用名称、应用ID、授权时间和授权范围信息。用户登录 RAM控制台。在左侧导航栏,选择 集成管理>OAuth应用(公测)。在 第三方应用 页签,查看用户已授权的第三方...
查看RAM用户的AccessKey信息
本文为您介绍如何查看RAM用户的访问密钥(AccessKey)信息,包括AccessKey ID、状态、最后使用云服务及创建时间等。AccessKey Secret只在创建时显示,不支持查看。RAM管理员查看所有RAM用户的AccessKey信息 阿里云账号(主账号)或RAM管理...
创建可信实体为阿里云服务的RAM角色
可信实体为阿里云服务的RAM角色主要用于解决跨云服务授权访问的问题。该RAM角色允许可信的阿里云服务扮演。服务角色分类 普通服务角色:您需要自定义角色名称,选择受信服务,并自定义权限策略。服务关联角色:您只需选择可信的云服务,...
为RAM用户解绑钉钉账号
还有可能影响该RAM用户在其他依赖钉钉绑定的阿里...在左侧导航栏,选择 访问凭证管理>控制台登录。单击 钉钉账号 右侧的 解绑。在 钉钉解绑 对话框,阅读并确认解绑产生的影响,然后单击 解绑。解绑成功后,钉钉账号 的状态显示为 未绑定。
创建可信实体为阿里云账号的RAM角色
可信实体的RAM用户通过控制台或API扮演角色并获取角色的安全令牌(STS Token),然后以RAM角色身份访问对应的云资源。具体操作,请参见 扮演RAM角色。相关文档 CreateRole-创建角色 跨阿里云账号的资源授权 移动应用使用临时安全令牌访问...
AliyunPremiumpicsDesignerAccess
AliyunPremiumpicsDesignerAccess 是阿里云管理的产品系统策略,您可以将 AliyunPremiumpicsDesignerAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 作为设计师访问正版图片(Premiumpics)的权限。策略详情 ...
创建RAM用户
OpenAPI调用访问 如果RAM用户代表应用程序,建议启用OpenAPI调用访问,使用访问密钥(AccessKey)访问阿里云。启用后,系统会自动为RAM用户生成一个AccessKey ID和AccessKey Secret。更多信息,请参见 创建AccessKey。重要 RAM用户的...
AliyunARMSPrometheusAccessAuth
AliyunARMSPrometheusAccessAuth 是阿里云管理的产品系统策略,您可以将 AliyunARMSPrometheusAccessAuth 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 访问Prometheus监控服务控制台的权限。策略详情 类型:系统...
删除应用
如果不再需要使用应用获取用户信息或访问阿里云API,可以删除应用。删除应用后,企业用户将不能正常登录。操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 集成管理>OAuth应用(公测)。在 OAuth应用管理 页面,删除应用。删除...
创建应用密钥
操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 集成管理>OAuth应用(公测)。在 企业应用 页签,单击目标应用名称。单击 应用密钥 页签,然后单击 创建密钥。在 创建应用密钥 对话框,查看并复制创建成功的应用密钥,然后...
修改应用基本信息
本文为您介绍如何修改应用基本信息,包括应用的显示名称和访问令牌有效期等信息。操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 集成管理>OAuth应用(公测)。在 企业应用 页签,单击目标应用名称。在 基本信息 区域,单击 ...
AccessKey泄露处理方案
建议限制的高风险权限,例如:禁止该RAM用户在访问控制(RAM)中创建新的RAM用户及授权,禁止ECS、RDS、OSS、SLS资源的释放,禁止发送短信等。以下提供一个禁用高风险权限的自定义权限策略示例,请您充分评估影响,根据业务情况设置。{...
支持STS的云服务
控制台:当前云服务是否支持在控制台进行访问控制,“√”表示支持,“×”表示不支持,“○”表示该服务未接入控制台。API:当前云服务是否支持通过API进行访问控制,“√”表示支持,“×”表示不支持,“○”表示该服务未提供API。关于...
为RAM用户组移除RAM用户
方式一:在RAM用户页面将RAM用户从RAM用户组中移除 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>用户。在 用户 页面,单击目标RAM用户名称。单击 加入的组 页签,然后单击目标RAM用户组 操作 列的 移出该组。单击 确定。...
集成概览
本文为您介绍访问控制OpenAPI的基本信息。关于如何使用阿里云OpenAPI,请参见 使用OpenAPI。总览 访问控制的OpenAPI包括:IMS(Identity Management Service)OpenAPI、RAM(Resource Access Management)OpenAPI和STS(Security Token ...
RAM Python SDK调用示例
登录 RAM访问控制,创建一个RAM用户。具体操作,请参见 创建RAM用户。凭证 进入到对应的 RAM用户 详情页,在 认证管理 页签下的 用户AccessKey 区域,单击 创建AccessKey,创建一个新的AccessKey。具体操作,请参见 创建AccessKey。重要 ...
AliyunCloudControlAPIReadOnlyAccess
AliyunCloudControlAPIReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunCloudControlAPIReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问云控制API(CloudControlAPI)的权限。...
IMS Python SDK调用示例
登录 RAM访问控制,创建一个RAM用户。具体操作,请参见 创建RAM用户。凭证 进入到对应的 RAM用户 详情页,在 认证管理 页签下的 用户AccessKey 区域,单击 创建AccessKey,创建一个新的AccessKey。具体操作,请参见 创建AccessKey。重要 ...
创建RAM用户并授权
您可以创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。当您的企业存在多用户协同访问资源的场景时,使用RAM可以按需为用户分配最小权限,避免多用户共享阿里云账号(主账号)密码或访问密钥,从而降低企业的安全风险...
控制台用户和程序用户分离
治理建议 判断当前RAM用户(User1)有无访问控制台的需求。无:禁用控制台访问方式。具体操作,请参见 修改控制台登录设置。有:进行下一步操作。创建一个新的RAM用户(User2),启用控制台访问方式。具体操作,请参见 创建RAM用户 和 启用...
为RAM用户绑定钉钉账号
在左侧导航栏,选择 访问凭证管理>控制台登录。单击 钉钉账号 右侧的 去绑定。在 RAM用户与钉钉绑定 页面,使用移动端的钉钉应用扫描页面中的二维码。在移动端的钉钉应用中,点击 登录网页版阿里云RAM。在 RAM用户与钉钉绑定 页面,阅读并...
通过RAM限制用户的访问方式
RAM可以限制用户只能通过指定的访问方式访问企业的云资源,从而增强访问安全性。前提条件 创建自定义权限策略前,您需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。背景信息 企业A...
AliyunDataWorksReadOnlyAccess
AliyunDataWorksReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunDataWorksReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问阿里云DataWorks管理控制台。策略详情 类型:系统策略 ...
通过RAM限制用户的访问时间段
RAM可以限制用户只能在指定的时间段访问企业的云资源,从而增强访问安全性。前提条件 创建自定义权限策略前,您需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。背景信息 企业A购买了...
- 产品推荐
- 这些文档可能帮助您