授权信息
本文为您介绍 访问控制(RAM)为RAM权限策略定义的操作(Action)、资源(Resource)和条件(Condition)。访问控制(RAM)的RAM代码(RamCode)为 ram,sts,支持的授权粒度为 RESOURCE。权限策略通用结构 权限策略支持JSON格式,其通用...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(IMS)为RAM权限策略定义...
授权信息
本文为您介绍 访问控制(RAM)为RAM权限策略定义的操作(Action)、资源(Resource)和条件(Condition)。访问控制(RAM)的RAM代码(RamCode)为 ram,sts,支持的授权粒度为 RESOURCE。权限策略通用结构 权限策略支持JSON格式,其通用...
支持RAM的云服务
本文为您介绍支持访问控制(RAM)的阿里云服务,并提供每个云服务支持的授权粒度、系统策略以及相关文档,方便您查询和使用。概览 本文的每个表格包含以下信息:云服务:支持RAM的云服务的名称。子服务/子模块:云服务下的子服务或子模块。...
基本概念
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会...
什么是STS
基本概念 概念 说明 RAM用户 RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。一个阿里云账号下可以创建多个RAM用户,对应企业内的员工、系统或应用程序。RAM用户不拥有资源,不能...
RAM角色概览
什么是RAM角色 RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有永久身份凭证(登录密码或访问密钥),需要被一个可信实体扮演。扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),...
扮演RAM角色
在控制台右上角头像位置将会显示用户的登录身份(即登录时使用的身份,可能是RAM用户,也可能是RAM角色)和当前身份(即切换角色后的身份)。在不同情况下,用户登录身份和当前身份的取值如下表所示:登录方式 登录身份 当前身份 RAM用户 ...
ChangePassword-修改RAM用户密码
操作 访问级别 资源类型 条件关键字 关联操作 ram:ChangePassword Write User acs:ram:*:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 OldPassword string 是 RAM 用户的控制台登录旧密码。12*NewPassword ...
CreateUser-创建RAM用户
操作 访问级别 资源类型 条件关键字 关联操作 ram:CreateUser Write User acs:ram:*:{#accountId}:user/*无 无 请求参数 名称 类型 必填 描述 示例值 UserName string 是 RAM 用户的名称。长度为 1~64 个字符,可包含英文字母、数字、半角...
ChangePassword-RAM用户修改自己的登录密码
操作 访问级别 资源类型 条件关键字 关联操作 ram:ChangePassword Write User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 OldPassword string 是 RAM 用户的控制台登录旧密码。mypassword ...
CreateLoginProfile-开启指定RAM用户的控制台登录
操作 访问级别 资源类型 条件关键字 关联操作 ram:CreateLoginProfile Write User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。test@example....
DeleteLoginProfile-关闭指定RAM用户的控制台登录
操作 访问级别 资源类型 条件关键字 关联操作 ram:DeleteLoginProfile Write User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。test@example....
如何排查无权限的访问错误?
SubUser 代表是RAM用户,AssumedRoleUser 代表是RAM角色,Federated 代表是SSO联合身份。AuthPrincipalDisplayName:身份标识。RAM用户提供的是UID信息,RAM角色提供的是角色名称和角色会话名称(例如:RoleName:RoleSessionName),SSO...
GetLoginProfile-查询指定RAM用户的登录信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:GetLoginProfile Read User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。test@example.onaliyun...
UpdateRole-更新角色信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:UpdateRole Write Role acs:ram:*:{#accountId}:role/{#RoleName} ram:TrustedPrincipalTypes ram:ServiceNames 无 请求参数 名称 类型 必填 描述 示例值 RoleName string 是 RAM 角色名称...
RemoveUserFromGroup-将RAM用户从用户组中移除
RAM 用户的登录名称。alice@example.onaliyun.com GroupName string 是 用户组名称。Test-Team 返回参数 名称 类型 描述 示例值 object RequestId string 请求 ID。85836703-8D4F-485F-9726-4D1C730F957E 示例 正常返回示例 JSON 格式 {...
CreateUser-创建RAM用户
操作 访问级别 资源类型 条件关键字 关联操作 ram:CreateUser Write User acs:ram:{#accountId}:user/*无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。格式为<username>@<AccountAlias>....
GetUser-查询RAM用户的详细信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:GetUser Read User acs:ram:*:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserName string 是 RAM 用户的名称。长度为 1~64 个字符,可包含英文字母、数字...
UpdateUser-更新RAM用户的基本信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:UpdateUser Write User acs:ram:*:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserName string 是 RAM 用户名称。zhangq*NewUserName string 是 RAM 用户...
AddUserToGroup-将RAM用户添加到指定的用户组
RAM 用户的登录名称。test@example.onaliyun.com GroupName string 是 用户组名称。Test-Team 返回参数 名称 类型 描述 示例值 object RequestId string 请求 ID。85836703-8D4F-485F-9726-4D1C730F957E 示例 正常返回示例 JSON 格式 {...
UnbindMFADevice-为RAM用户解绑多因素认证设备
操作 访问级别 资源类型 条件关键字 关联操作 ram:UnbindMFADevice Write User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。test@example....
ListPoliciesForUser-查询RAM用户的授权列表
操作 访问级别 资源类型 条件关键字 关联操作 ram:ListPoliciesForUser Read User acs:ram:*:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserName string 是 RAM 用户名。zhangq*返回参数 名称 类型 描述 ...
CreateRole-创建角色
操作 访问级别 资源类型 条件关键字 关联操作 ram:CreateRole Write Role acs:ram:*:{#accountId}:role/{#RoleName} ram:TrustedPrincipalTypes ram:ServiceNames 无 请求参数 名称 类型 必填 描述 示例值 RoleName string 是 RAM 角色名称...
RemoveUserFromGroup-将RAM用户从用户组中移除
请求参数 名称 类型 必填 描述 示例值 UserName string 是 RAM 用户名称。zhangq*GroupName string 是 用户组名称。Dev-Team 返回参数 名称 类型 描述 示例值 object 返回结果。RequestId string 请求 ID。A07EF215-B9B3-8CB2-2899-3F9575C...
ListGroupsForUser-查询RAM用户加入的用户组列表
操作 访问级别 资源类型 条件关键字 关联操作 ram:ListGroupsForUser List User acs:ram:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserPrincipalName string 是 RAM 用户的登录名称。test@example....
BindMFADevice-为RAM用户绑定多因素认证设备
acs:ram:177242285274*:mfa/device001 UserPrincipalName string 是 RAM 用户的登录名称。test@example.onaliyun.com AuthenticationCode1 string 是 第一组安全验证码。说明 您可以调用 CreateVirtualMFADevice 创建多因素认证设备并生成...
获取用户凭证报告
操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,单击 概览。在 概览 页签,单击 下载用户凭证报告。待用户凭证报告生成后,您可以单击 下载,将报告保存到本地。说明 用户凭证报告生成所需时间取决于阿里云账号内RAM用户的数量,...
GetUserMFAInfo-获取多因素认证设备信息
操作 访问级别 资源类型 条件关键字 关联操作 ram:GetUserMFAInfo Read User acs:ram:*:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserName string 是 RAM 用户名称。test 返回参数 名称 类型 描述 示例值...
ListGroupsForUser-列出指定RAM用户所加入的用户组...
操作 访问级别 资源类型 条件关键字 关联操作 ram:ListGroupsForUser Read User acs:ram:*:{#accountId}:user/{#UserName} 无 无 请求参数 名称 类型 必填 描述 示例值 UserName string 是 RAM 用户名称。Alice 关于公共请求参数的详情,请...
计费方法
本文为您介绍访问控制(RAM)的计费方法。访问控制(RAM)为免费产品,只要经过实名认证的阿里云账号就可以直接使用,该产品暂不支持关闭。实名认证的详情请参见:个人实名认证、企业实名认证。icmsDocProps={'productMethod':'created','...
权限策略判定流程
当RAM身份(RAM用户或RAM角色)通过阿里云控制台、API或CLI发起资源访问请求时,都需要执行权限策略的判定流程,根据判定结果决定是否允许访问。本文为您介绍阿里云的权限策略判定流程。概述 阿里云支持多种类型的权限策略。一次完整的权限...
控制台用户和程序用户分离
治理建议 判断当前RAM用户(User1)有无访问控制台的需求。无:禁用控制台访问方式。具体操作,请参见 修改控制台登录设置。有:进行下一步操作。创建一个新的RAM用户(User2),启用控制台访问方式。具体操作,请参见 创建RAM用户 和 启用...
RAM Python SDK调用示例
登录 RAM访问控制,创建一个RAM用户。具体操作,请参见 创建RAM用户。凭证 进入到对应的 RAM用户 详情页,在 认证管理 页签下的 用户AccessKey 区域,单击 创建AccessKey,创建一个新的AccessKey。具体操作,请参见 创建AccessKey。重要 ...
API概览
本产品(访问控制/2015-05-01)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用需求,可通过...
API概览
本产品(访问控制 身份管理/2019-08-15)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用...
IMS Python SDK调用示例
登录 RAM访问控制,创建一个RAM用户。具体操作,请参见 创建RAM用户。凭证 进入到对应的 RAM用户 详情页,在 认证管理 页签下的 用户AccessKey 区域,单击 创建AccessKey,创建一个新的AccessKey。具体操作,请参见 创建AccessKey。重要 ...
STS Python SDK调用示例
登录 RAM访问控制,创建一个RAM用户。具体操作,请参见 创建RAM用户。凭证 进入到对应的 RAM用户 详情页,在 认证管理 页签下的 用户AccessKey 区域,单击 创建AccessKey,创建一个新的AccessKey。具体操作,请参见 创建AccessKey。重要 ...
通过SCIM协议同步Okta用户到阿里云RAM
通过SCIM 2.0标准协议,结合阿里云OAuth应用的安全授权,您可以将Okta中的用户同步到阿里云访问控制(RAM)中。前提条件 本文中所有RAM控制台的操作,请使用阿里云账号(主账号)、RAM管理员或具有OAuth管理权限的RAM用户完成。本文中所有...
清理闲置RAM用户
最佳实践 对于人员用户,建议使用单点登录(SSO登录)方式访问控制台,降低身份暴露风险。如果暂无条件使用单点登录(SSO登录)方式,建议定期审计有控制台登录权限的RAM用户的使用情况,定期清理闲置RAM用户。治理建议 对于确定没有登录...
- 产品推荐
- 这些文档可能帮助您