跨阿里云账号的资源授权
企业B可以进一步将企业A的资源访问权限分配给企业B的RAM用户(员工或应用),并可以精细控制其员工或应用对资源的访问和操作权限。企业A希望如果双方合同终止,企业A随时可以撤销企业B的授权。解决方案 企业A需要授权企业B的员工对ECS进行...
新手指引
内网访问安全配置流程 基于软件定义边界SDP(Software Defined Perimeter)技术,打造SaaS化零信任网络访问功能。在不需暴露公网地址和改造企业原有网络架构的情况下,内网访问可以指定应用,管控访问权限。步骤一:配置内网业务应用资源 ...
迁移失败常见原因及解决方案
解决方案 确认NAS是否设置了访问权限或安全组。由于迁移所用的IP是动态随机的,因此需允许NAS所在VPC网络中的所有IP访问NAS文件系统。案例九:出现“Requests specifying Server Side Encryption with AWS KMS managed keys must be made ...
RAM和STS介绍
RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能...
RAM角色概览
例如:配置审计(Config)服务要读取您的云资源信息,以获取资源列表和资源配置变更历史,就需要获取ECS、RDS等产品的访问权限。此时,您可以创建可信实体为阿里云服务的RAM角色解决该问题。推荐您优先使用服务关联角色,对于不支持服务...
授予RAM用户权限
解决方法 主账号登录 RAM控制台,授予RAM用户与实例费用相关的权限 AliyunHologresFullAccess 及 AliyunBSSOrderAccess。与实例使用相关的RAM用户权限问题 无法登录并使用Hologres实例。问题现象 报错:role"<role_name>"does not exist。...
API快速访问
在 创建自定义权限策略页 页签,单击 新增权限语句,在 加授权语句 面板,设置对应应用的查看权限和接口访问权限,然后单击 确认。在 权限效力 下方选择 允许。在 操作与资源授权 区域的左侧权限列表,选择 应用>查看应用 和 应用>接口访问...
配置网络
如果您需要函数能够访问VPC内的资源,或允许指定的VPC来调用函数,那么您需要手动为服务配置网络访问能力。网络配置为服务级别,即对服务下的所有函数生效。本文介绍如何通过 函数计算 控制台为服务配置网络。注意事项 为服务绑定VPC资源时...
阿里云身份与权限
您通过为RAM用户(或RAM用户组)绑定权限策略,可以使其获得权限策略中指定的访问权限。详情请参见 为RAM用户授权(或 为用户组授权)。虚拟用户身份权限 阿里云的虚拟用户身份RAM角色默认没有任何权限。新建的RAM角色在指定可信实体后,...
RAM和STS介绍
阿里云STS是阿里云提供的一种临时访问权限管理服务,用来授予临时的访问权限。通过STS可以完成对临时用户的访问授权。更多信息,请参见 什么是STS。背景介绍 RAM和STS需要解决的一个核心问题是如何在不暴露阿里云账号AccessKey的情况下安全...
阿里云身份与权限
您通过为RAM用户(或RAM用户组)绑定权限策略,可以使其获得权限策略中指定的访问权限。详情请参见 为RAM用户授权(或 为用户组授权)。虚拟用户身份权限 阿里云的虚拟用户身份RAM角色默认没有任何权限。新建的RAM角色在指定可信实体后,...
ListInstanceEndpoint-查询实例网络访问入口列表
查询实例网络访问入口列表。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素...
错误反馈
解决方法:配置公网访问权限,确保能访问到ECS上。首先,您需要通过ping对应环境的接入地址(Endpoint)来查看网络环境的连接情况,如果网络环境正常,请检查是否缺少对应语言的依赖或者 aliyun-*-sdk-core 版本过低,建议您参照SDK参考中...
什么是STS
阿里云STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)...
DataWorks权限相关
若无所需资源组,请参考 新增和使用独享调度资源组 创建。绑定HologresDB时报错“同名计算引擎实例已经存在”或者“租户系统内部错误”问题现象 当您在 绑定HologresDB 弹框配置完参数,单击 确定,报错提示 或者“租户系统内部错误”。...
管理员首次配置内网访问指南
打造SaaS化零信任网络访问功能,在不需暴露公网地址和改造企业原有网络架构的情况下,通过 SASE 内网访问解决方案实现企业员工通过内网访问云上业务资源,并对企业员工的访问权限进行管控。操作步骤 步骤一:配置身份源和用户组 身份源主要...
为RAM用户配置权限
RAM允许在一个阿里云账号下创建并管理多个身份,并允许给单个身份或一组身份分配不同的权限,从而实现不同用户拥有不同资源访问权限的目的。更多信息,请参见 什么是访问控制。RAM提供了一种长期有效的权限控制机制,通过分出不同权限的RAM...
如何解决MSE Nacos获取或操作无权限资源的问题
本文介绍如何解决MSE Nacos获取或操作无权限资源的问题。问题现象 在Nacos的开源控制台中创建了新用户,并为该用户设置了某个命名空间权限,但该用户仍然可以访问其他命名空间。在 RAM控制台 中为某个RAM用户授予了某个命名空间的权限,...
身份
例如:配置审计(Config)服务要读取您的云资源信息,以获取资源列表和资源配置变更历史,就需要获取ECS、RDS等产品的访问权限。此时,您可以创建可信实体为阿里云服务的RAM角色解决该问题。推荐您优先使用服务关联角色,对于不支持服务...
OSS存储卷FAQ
创建硬链接时返回错误Operation not supported或Operation not permitted ossfs常见问题 控制台检测失败问题 控制台检测长期卡住,或失败无信息透出,或显示unknown error 网络问题:connection timed out 权限问题:错误码StatusCode=403 ...
挂载文件系统失败故障排查
如果挂载点的权限组不允许ECS访问,请修改权限组配置。具体操作,请参见 修改权限组配置。如何解决子目录不存在报错?报错信息:mount.nfs:access denied by server while mounting xxxx.nas.aliyuncs.com:/<dir>挂载子目录时,挂载命令中...
DescribeAccessRules-查询权限规则描述
取值:RDWR(默认值):读写 RDONLY:只读 RDWR UserAccess string 授权对象的系统用户对文件系统的访问权限。取值:no_squash:允许使用 root 用户访问文件系统。root_squash:以 root 用户身份访问时,映射 nobody 用户。all_squash:...
常见问题
使用AccessKey登录时出现“AccessDenied:You are forbidden to list buckets”报错 问题分析:当前账号没有访问所有Bucket的权限。解决方法:为当前账号授予 oss:ListBuckets 权限后重新登录。具体步骤,请参见 为RAM用户授权。如果当前...
Hologres权限相关
简单权限模型(简称SPM)指的是DB级别的简单权限管理模型,所有需要访问DB的用户都需要加入到某个用户组中,每个用户组都有DB中任意Schema下对象特定的访问权限。如果您很少采用Schema进行开发,或者只是像使用目录一样采用Schema对表对象...
RAM账号权限管理最佳实践
ALIYUN:RAM:Role 3 创建三个RAM角色,用于颁发短时有效的访问令牌(STS令牌),使其成为一种更安全的授予访问权限的方法。无 ALIYUN:RAM:User 3 创建三个RAM用户,通常是组织中需要访问云资源的人员或应用程序。无 ALIYUN:ECS:VPC 3 创建三...
用户角色权限图谱
支持 支持 支持 数据开发 任务编排 支持(基于权限)支持(基于权限)支持(基于权限)支持(基于权限)支持(基于权限)数仓开发 支持(基于权限)支持(基于权限)支持(基于权限)支持(基于权限)支持(基于权限)数据应用 数据服务 ...
安全白皮书
目前Hologres支持网络的具体情况如下:每个实例的经典网络、VPC网络、公网网络三网隔离,只能访问各自对应的Endpoint及虚拟内网IP(VIP)。Hologres实例支持配置特定的VPC ID,来保障实例只能被对应的VPC访问。IP白名单 Hologres安全上的...
RAM和STS介绍
这种情况下,不能直接把 A 的 AccessKey 透露出去,而应该新建一个角色 C,并给这个角色授予读取物联网络管理平台接口的权限。但请注意,目前角色 C 还无法直接使用。因为并不存在对应角色 C 的 AccessKey,角色 C 仅是一个拥有访问物联网...
准备工作
若您配置了NAS访问权限,需允许NAS所在VPC网络中的所有IP访问NAS。具体操作,请参见 管理文件系统数据访问权限。第三方NAS 说明 第三方NAS仅支持作为源地址,不支持作为目的地址。您可以通过以下方式将您的源NAS和目的NAS挂载到同一个阿里...
安装硬件
根据下图示例顺序检查共享文件夹,确认filedata目录的访问权限为读写,如权限为读写,则表示共享文件夹正常。(可选)创建共享文件夹 创建共享文件夹前,请先登录闪电立方服务器确认是否存在共享文件夹,确认文件夹存在后,通过浏览器登录...
DescribeSolutionInstanceConfiguration-查询解决方案...
查询解决方案默认配置。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中...
0005-00000211
问题原因 数据加密场景下,OSS使用KMS密钥加密后上传、下载、访问文件,请求被KMS拒绝,报无权限。问题示例 当您在设置了服务器端加密的存储空间(Bucket)中上传文件(Object)时,并且加密方式为使用KMS托管密钥进行加解密(SSE-KMS),...
MaxCompute安全白皮书
目前MaxCompute支持的具体情况如下:经典网络、VPC网络、Internet网络三网隔离,只能访问各自对应的Endpoint及IP。没有配置VPC ID及IP白名单的Project可以被三种网络请求通过的相应域名访问,没有限制。配置了VPC ID的Project只能被对应的...
基本概念
通过为RAM用户、用户组或RAM角色绑定权限策略,可以获得权限策略中指定的访问权限。更多信息,请参见 为RAM用户授权、为用户组授权 和 为RAM角色授权。授权主体(Principal)获得策略中定义的权限主体,授权主体可以为RAM用户、用户组或RAM...
项目管理(新版)
说明 如果只配置经典网络IP白名单,则经典网络访问受配置限制,VPC网络访问全部禁止。VPC网络IP 设置VPC网络下的IP白名单,仅允许白名单内的设备访问项目空间。说明 如果只配置VPC网络IP白名单,则VPC网络访问受配置限制,经典网络访问全部...
创建MaxCompute数据源
相关介绍及操作,请参见 MaxCompute数据访问权限控制、审批中心概述。说明 简单模式工作空间无法做到细粒度权限控制,以下内容为标准模式工作空间下的影响说明。数据源创建入口 进入数据源页面。登录 DataWorks控制台,单击左侧导航栏的 ...
网络规划
所以企业级云上网络的重点是帮助企业用户更高效地搭建上云网络环境,而企业互联解决方案作为整体上云网络搭建过程的核心,需要帮助客户解决云上网络架构设计、云上云下网络互通、云上企业内部网络互通、云上企业间私网访问等场景下的问题。...
ListAuthorityTemplate-获取权限模板列表
操作 访问级别 资源类型 条件关键字 关联操作 dms:ListAuthorityTemplate List 全部资源*无 无 请求参数 名称 类型 必填 描述 示例值 SearchKey string 否 填入权限模板名称关键字。测试模板 PageSize integer 否 每页显示权限模板的数目。...
使用STS临时访问凭证访问OSS
步骤四:为RAM角色授予上传文件的权限 为RAM角色附加一个或多个权限策略,明确RAM角色在被扮演时所能拥有的OSS资源访问权限。例如,如果希望RAM用户在扮演该角色后只能向OSS指定Bucket上传文件,则需要为角色添加写入权限的策略。创建上传...
网络智能服务如何与RAM协同工作
访问控制 RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务,能够帮助您安全集中地管理云资源的用户以及用户对云资源的使用和访问。网络智能服务 NIS(Network Intelligence Service)支持通过 RAM,实现...
- 产品推荐
- 这些文档可能帮助您