等保最佳实践
访问控制 应对登录的用户分配账户和权限 堡垒机支持按用户及用户组授权资产,用户只能访问管理员为自己授权的资产,防止越权访问。登录堡垒机系统。具体操作,请参见 登录系统。在左侧导航栏,选择 人员管理>用户,在需要授权用户的 操作 ...
环境准备
空间管理员 定义该工作空间的管理员。默认当前登录账号为该工作空间的管理员。您也可自行添加工作空间中的其他成员为管理员,协同管理该工作空间。空间管理员可为工作空间添加空间成员,详情请参见 添加工作空间成员。阿里云资源组 选择...
功能特性
密码策略 日志 管理日志 记录管理员的操作记录,包括操作者、操作环境、事件、操作对象等 日志 用户日志 记录用户的行为记录,包括操作者、操作环境、事件、操作对象等 日志 同步日志 记录数据同步的记录,包括操作者、操作环境、事件、...
物联网平台RAM授权说明
扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就能以RAM角色身份访问被授权的资源。使用示例 物联网平台典型使用场景的自定义权限策略 使用RAM用户访问物联网平台控制台 RAM用户扮演RAM角色...
阿里云身份与权限
实体用户扮演成功后将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用STS Token就能以RAM角色身份访问被授 权的资源。RAM角色支持的可信实体如下表。可信实体 使用场景 相关文档 阿里云账号 主要用于解决跨账号访问和临时授权...
阿里云身份与权限
实体用户扮演成功后将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用STS Token就能以RAM角色身份访问被授权的资源。RAM角色支持的可信实体如下表。可信实体 使用场景 相关文档 阿里云账号 主要用于解决跨账号访问和临时授权...
新增/编辑员工
备注,最长50个字符,选填 后续操作:员工登录方法参见“伙伴员工账号登录”设置员工角色为部门管理员参见“设置部门管理员”设置员工角色为全部客户权限员工参见“为员工设置全部客户权限”为员工设置功能权限参见“员工功能菜单授权”...
初始化OTSClient
accessKeySecret是访问表格存储服务的AccessKeySecret,通过官方网站申请或通过管理员获取。instanceName是要访问的实例名,通过官方网站控制台创建或通过管理员获取。func NewClient(endPoint,instanceName,accessKeyId,accessKeySecret ...
高安全性
认证授权 基于访问控制RAM(Resource Access Management)的集群访问策略(ReadOnlyAccess只读访问、FullAccess管理员等)。基于RAM的权限控制(Instance、Account等资源及GET、POST、PUT操作等)。基于X-Pack安全插件的RBAC的权限体系,...
创建RAM角色并授权
扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就能以RAM角色身份访问被授权的资源。RAM角色类型 根据不同的可信实体,RAM角色分为以下三类:可信实体为阿里云账号的RAM角色:允许RAM用户扮演...
密钥管理服务如何与RAM协同工作
访问控制RAM(Resource Access Management)是阿里云提供的一项服务,可以帮助您集中管理用户身份与资源访问权限。企业内有多名员工或应用程序需要访问KMS的资源时,可以使用RAM服务做统一的权限管理,按需为他们分配不同的访问权限。在...
身份与权限
用户身份类型 描述 默认权限 是否需要授权 访问方式 使用场景 管理员 开通多云成本运营平台的主账号即为管理员,管理员可以管理所有普通用户。拥有多云运营平台的所有权限。无需授权 使用用户名和密码、多因素认证MFA(Multi-Factor ...
被邀请方处理邀请
被邀请方收到邀请后,可以通过资源管理控制台、邀请邮件或站内消息查阅邀请信息,然后评估加入资源目录将产生的影响,最后选择接受或拒绝邀请。前提条件 请确保被邀请方未加入任何资源目录,一个阿里云账号只能加入一个资源目录。请确保被...
SAP HANA 操作指南
例如,确保仅有必须使用的网络端口被加入访问限制白名单,对运行 SAP HANA 的操作系统进行安全防护加固,等等。以下 SAP note 供你参考:1944799:Guidelines for SLES SAP HANA installation 1730999:Recommended configuration changes ...
权限概述
说明 当RAM用户或RAM角色被设置为某MaxCompute项目生产环境的调度访问身份(即创建生产环境数据源时,被配置为 默认访问身份),则该用户或角色会被映射为MaxCompute项目的Role_Project_Scheduler角色。默认访问身份配置详情,请参见 创建...
MongoDB数据库未授权访问漏洞防御最佳实践
MongoDB数据库未授权访问漏洞可以导致数据库数据泄露或被删除勒索。背景信息 为保证您的业务和应用的安全,云防火墙提供以下漏洞修复指导方案。MongoDB服务安装完成后,会默认存在一个Admin数据库,该Admin数据库内容为空,并且没有记录...
文件存储NAS SMB ACL概述
新的AD用户创建的文件或文件夹不会继承Everyone权限,所以不使用AD的用户并不能访问新的AD用户创建的文件或文件夹,只有创建者用户和管理员用户可以访问。AD用户可以访问不使用AD的用户(即Everyone)创建的文件或文件夹。NAS SMB ACL特性 ...
OSS如何与RAM协同工作
访问控制RAM(Resource Access Management)是阿里云提供的一项服务,可以帮助您集中管理用户身份与资源访问权限。企业内有多名员工或应用程序需要访问对象存储(以下简称OSS)的资源时,可以使用RAM服务做统一的权限管理,按需为他们分配...
清除KubeConfig
阿里云账号 具有 AliyunCSFullAccess 以及 AliyunRAMReadOnlyAccess RAM权限的RAM用户或RAM角色,且该用户或角色需具有RBAC管理员权限。具体操作,请参见 将RAM用户或RAM角色设置为权限管理员。集群维度KubeConfig管理示例 RAM用户或RAM...
密钥管理
通过创建应用接入点,精细化配置哪些凭据可以授权给哪些应用程序,以及访问的网络、和身份认证,提供更精细化的授权策略,KMS应用访问控制流程如下图所示。为密钥的使用开启安全审计 为KMS的使用开通安全审计,有助于事后安全溯源和合规...
网站受到网络攻击导致无法正常访问
DDoS攻击:即分布式拒绝服务(Distributed Denial of Service),拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源进行访问,从而达成攻击者的目的。说明 常见的DDoS攻击手段包括SYN Flood、ACK Flood、UDP Flood、ICMP ...
凭据管理快速入门
重要 选择管理员、使用者时不消耗 访问管理数量 配额。选择其他账号使用者时,会消耗KMS实例的 访问管理数量 配额,按主账号个数计算消耗的配额,如果您取消了授权,请等待约5分钟,再查看配额,配额的消耗数量会相应减少。使用凭据时,还...
网络端点
删除专属端点 有两种方式删除专属端点:当实例中没有模块(身份提供方、应用)使用专属端点功能时,管理员可以手动删除 付费实例到期释放、退订时,IDaaS 强制自动删除 删除专属端点时,IDaaS 将会释放由 IDaaS 在您的账号下创建的对应资源...
网络智能服务系统权限策略参考
本文描述网络智能服务支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)...
概述
通过向 API 的服务端地址发送 HTTPS/HTTP GET/POST 请求,并按照API接口说明,在请求中加入相应请求参数来调用 API 接口。根据请求的处理情况,系统会返回...为子账号授予物联网络管理平台 API 访问权限,请参见 Link WAN API 授权映射表。
凭据策略概述
当阿里云账号、RAM身份(RAM用户或RAM角色)通过阿里云控制台、OpenAPI或CLI发起KMS资源访问请求时,都需要执行权限策略的判定流程,根据判定结果决定是否被允许访问。具体请参见如下流程图和说明。判定结果遵循如下原则:如果是当前阿里云...
网络开通流程
出口IP存在变更的可能性,被访问的服务不应该开启访问控制,对于针对代理出口配置IP白名单的情况,平台不保障出口IP不变。重要 如果完成MaxCompute的网络连通后,运行MaxCompute任务时仍然出现了无法访问等问题,可能是运行MaxCompute任务...
权限管理
安全管理员往往需要访问安全产品,如云安全中心、云防火墙等,但数据库管理员往往只需要访问数据库相关的产品,如云数据库 RDS 等。但对于同一职责,尤其是一些基础职能,如财务、数据库管理员、安全管理员、审计员等,所需要访问和管理的...
专有网络VPC系统权限策略参考
本文描述专有网络VPC支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品...
开通公网访问GitOps
本地公网地址,可以通过 curl ifconfig.me 命令查看或咨询网络管理员获得。多个IP地址/地址段之间以回车键分割,最多可添加50条。单击 确定。通过CLI 开启GiOps公网访问 执行以下命令,获取集群的基本信息,并记录集群的ClusterID。aliyun ...
密钥策略概述
当阿里云账号、RAM身份(RAM用户或RAM角色)通过阿里云控制台、OpenAPI或CLI发起KMS资源访问请求时,都需要执行权限策略的判定流程,根据判定结果决定是否被允许访问。具体请参见如下流程图和说明。判定结果遵循如下原则:如果是当前阿里云...
使用Azure AD进行角色SSO的示例
在Azure AD租户中,您有一个管理员用户(已授予全局管理员权限)和一个企业员工用户(u2)。您希望经过配置,使得企业员工用户(u2)在登录Azure AD后,通过角色SSO访问阿里云账号(Account1)。您需要通过管理员用户(已授予全局管理员...
名词概念
被邀请的企业管理员为关联企业MA。组织目录 组织目录支持集中化管理关联企业的账号,您可以使用树状结构设置您的母子公司、部门、项目、业务生产环境等,实现按层级管理账号;您可以将账号放在指定的组织节点中,支持该组织节点管理员角色...
简介
本文介绍RAM的基本概念和相关操作,包括为RAM用户和角色授权访问网络质量分析器,以及管理网络质量分析器的服务关联角色。身份管理、资源访问控制、授权RAM用户访问日志服务、授权服务角色。基本概念 RAM(Resource Access Management)是...
使用管控策略实现企业可用云产品白名单
用户身份和被访问的资源间存在诸多特定限制,从而形成复杂的权限配置要求,给管理带来麻烦。新方案(推荐):通过 管控策略 的允许(Allow)策略进行顶层管控 资源目录的管控策略支持了"Effect":"Allow",企业可以使用它,简单高效地解决...
简介
本文介绍RAM的基本概念和相关操作,包括为RAM用户和角色授权访问网络质量分析器,以及管理网络质量分析器的服务关联角色。身份管理、资源访问控制、授权RAM用户访问日志服务、授权服务角。基本概念 RAM(Resource Access Management)是...
网络智能服务如何与RAM协同工作
访问控制 RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务,能够帮助您安全集中地管理云资源的用户以及用户对云资源的使用和访问。网络智能服务 NIS(Network Intelligence Service)支持通过 RAM,实现...
监控和分析
针对监测控制,有以下最佳实践:网络管理:创建隔离分层的网络,有助于对相似的网络组件进行逻辑分组,还缩小了未经授权的网络访问的潜在影响范围。针对专有网络VPC,通过使用ECS安全组,网络ACL,流日志等,控制网络流量,保障云服务的...
功能发布记录
2022-04 全部 支持的可信服务 新增支持委派管理员的可信服务:配置审计。2022-04 全部 支持的可信服务 资源共享 新增支持共享服务目录的产品组合。2022-04 全部 支持资源共享的云服务 资源组 在资源组页面,新增支持为资源组中的资源绑定...
网络ACL概述
网络ACL(Network Access Control List)是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中云服务器ECS实例流量的访问控制。功能发布及地域支持情况 公有云支持的地域 区域 支持...
- 产品推荐
- 这些文档可能帮助您