网络安全管理
如果要控制实例的网络访问权限,您可以更改实例网络类型为 限定控制台或绑定VPC访问 或者 限定绑定VPC访问。重要 限制实例网络类型后,将不允许使用公网或者经典网访问实例,只支持 VPC 或控制台访问,请谨慎操作。登录 表格存储控制台。在...
应用授权
应用授权用于指定哪些组织或账户具备访问权限。 没有权限的账户,将无法访问当前应用。说明 前提:IDaaS 应用单点登录配置中,可设置该应用为【全员可访问】。该选项下,无需配置应用授权,且手动授权无效。若需指定授权范围,请将该配置...
应用配置
子账户访问方式,让某个子账户具有某一个云产品的访问权限,这样可以做到更细粒度的权限控制,最大程度保护云服务安全。打开 https://ram.console.aliyun.com/users 子账户管理页面,创建一个子账户,并允许子账户「编程访问」权限。经过...
借助RAM角色实现跨云账号访问资源
说明 被访问的角色需要具有AliyunEDASFullAccess权限。RAM子用户只能扮演非自己主账户的角色,即子账户不能扮演子账户所在的主账户下的角色,只能扮演其它主账户下的拥有AliyunEDASFullAccess权限的角色。用户在自己主账户角色的情况下将...
授权RDS访问KMS
查看角色ARN(可选)ARN(Alibaba Cloud Resource Name)是RAM角色的全局资源描述符,即描述该RAM角色具有哪些资源的访问权限。调用API进行云盘加密时需要传入ARN,用于指定一个具有KMS访问权限的RAM角色,具体操作,请参见 ...
API概览
应用授权管理 应用授权管理 AuthorizeApplicationToUsers 授予多个EIAM账户访问一个应用的权限 批量授予多个EIAM账户访问一个应用的权限。AuthorizeApplicationToOrganizationalUnits 授予多个EIAM组织访问一个应用的权限 批量授予多个EIAM...
统一配置身份权限
NetworkAdministrator 具有网络相关服务的所有权限,并有安全组的权限。SecurityAudit 具有安全产品的查询安全数据的权限,但不可管理安全产品的配置。SecurityAdministrator 具有所有安全产品的管理权限。关于访问配置的更多信息,请参见 ...
权限策略及示例
专有网络VPC AliyunVPCReadOnlyAccess:只读访问专有网络VPC的权限。云服务器ECS AliyunECSReadOnlyAccess:只读访问云服务器服务ECS的权限。访问控制RAM AliyunRAMReadOnlyAccess:只读访问控制RAM的权限,即查看用户、组以及授权信息的...
权限策略及示例
专有网络VPC AliyunVPCReadOnlyAccess:只读访问专有网络VPC的权限。云服务器ECS AliyunECSReadOnlyAccess:只读访问云服务器服务ECS的权限。访问控制RAM AliyunRAMReadOnlyAccess:只读访问控制RAM的权限,即查看用户、组以及授权信息的...
身份认证和访问控制
认证即判断用户是否为能够访问集群的合法用户,授权负责管理指定用户对资源的访问权限。ACK集群的认证和授权 Kubernetes使用X.509证书、Bearer Tokens、身份验证代理或者OIDC认证等方式来对API请求进行身份验证。关于ACK原生、访问ACK集群...
EAS通用服务关联角色
EAS 通过服务关联角色AliyunServiceRoleForPaiEas获取其他云服务的访问权限,首次使用 EAS 时,阿里云账号需要为该角色授权。本文介绍AliyunServiceRoleForPaiEas角色拥有的访问权限及如何删除该角色。背景信息 EAS 服务关联角色...
PTS服务关联角色
waf:DescribeDomainConfig"],"Resource":"*","Effect":"Allow"} 专有网络VPC的访问权限 {"Action":["vpc:DescribeVpcs","vpc:DescribeVSwitches","vpc:DescribeVSwitchAttributes"],"Resource":"*","Effect":"Allow"} 阿里云容器服务的访问...
PTS服务关联角色
waf:DescribeDomainConfig"],"Resource":"*","Effect":"Allow"} 专有网络VPC的访问权限 {"Action":["vpc:DescribeVpcs","vpc:DescribeVSwitches","vpc:DescribeVSwitchAttributes"],"Resource":"*","Effect":"Allow"} 阿里云容器服务的访问...
【通知】2023年06月30日跨数据库查询DSQL升级通知
为提供更好的跨库查询服务,跨数据库查询DSQL将于2023年06月30日进行升级,升级后,原DSQL控制台界面将下线并统一使用DMS的逻辑数仓功能进行跨库查询,应用程序访问DSQL的功能也将迁移至DMS逻辑数仓的一键JDBC功能中。背景信息 DSQL主要...
创建数据库和账号
高权限账户目前无法通过Terraform来删除,如果使用Terraform创建了高权限账户,该账号无法通过Terraform来删除,可能会导致实例也无法正常释放。同一实例下的数据库共享该实例下的所有资源。账号名称或数据库名称不能与关键字重复。更多...
通过ECS实例RAM角色授权ECS访问其他云资源
当ECS实例或部署在ECS实例上的应用需要访问其他云资源时,必须先通过访问凭证来验证身份信息和访问权限。实例RAM角色允许您将一个角色关联到ECS实例,使ECS实例及其上的应用基于STS临时凭证访问其他云资源,无需透露长期AccessKey,既可...
授权概述
系统策略名称 说明 AliyunACCFullAccess 当RAM用户或RAM角色需要容器服务产品所有OpenAPI的访问权限。说明 此系统策略仅包含针对ACS产品的RAM授权。如您需要对ACS集群中的应用进行运维,还需要进行RBAC授权,请参见 RBAC授权。...
授权概述
系统策略名称 说明 AliyunCSFullAccess 当RAM用户或RAM角色需要容器服务产品所有OpenAPI的访问权限。说明 此系统策略仅包含针对ACK产品的RAM授权。如您需要对ACK集群中的应用进行运维,还需要进行RBAC授权,请参见 RBAC授权。...
安全体系概述
网络ACL 网络ACL是VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS实例的流量的访问控制。详细信息,请参见 网络ACL概述。流日志 专有网络VPC提供流日志功能,可以记录VPC网络中弹性...
功能特性
支持上传应用侧 metadata 自动配置 SAML 应用 自定义 NameID 自定义单点登录中的账户标识(NameID),包括 IDaaS 账户、应用账户、优先应用账户、表达式等 SAML 应用 授权范围 应用的访问权限授权,包括手动授权和自动授权 SAML 应用 应用...
附录 2 等级保护简介
访问控制 应根据管理用户的角色建立不同账户并分配权限,仅授予管理用户所需的最小权限,实现管理用户的权限分离。安全审计 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。入侵防范 应能够检测到对...
专有网络
警告 Cluster删除了专有网络A,则该Cluster不再具有访问专有网络A的权限。当专有网络A被多个Cluster挂载时,仅有Cluster A删除了专有网络A,但专有网络A仍然被Cluster B挂载,此时专有网络A仍然会被计费。当专有网络A被所有挂载的Cluster...
管理文件访问权限
本文介绍如何管理文件访问权限。注意事项 本文以华东1(杭州)外网Endpoint为例。如果您希望通过与OSS同地域的其他阿里云产品访问OSS,请使用内网Endpoint。关于OSS支持的Region与Endpoint的对应关系,请参见 访问域名和数据中心。本文以从...
管理文件访问权限
背景信息 文件的访问权限(ACL)有以下四种:访问权限 描述 访问权限值 继承Bucket 文件遵循存储空间的访问权限。oss2.OBJECT_ACL_DEFAULT 私有 文件的拥有者和授权用户有该文件的读写权限,其他用户没有权限操作该文件。oss2.OBJECT_ACL_...
免密拉取ACR镜像
新创建的ACR企业版实例默认处于非连接状态,需要配置相应的ACL策略后,才可以通过公网或者专有网络访问该实例。公网访问:开启公网访问入口后,可以直接通过公网域名地址来访问ACR企业版实例的镜像(可跨域)。具体操作,请参见 配置公网的...
云备份服务关联角色
云备份 使用服务关联角色获取云服务器ECS、专有网络VPC、对象存储OSS、文件存储NAS等资源的访问权限。通常情况下,服务关联角色是在您开启某项备份功能、创建备份计划或者为数据源关联备份策略时时,由 云备份 自动创建。在自动创建服务...
403错误
根据使用场景设置不同访问权限的详情,请参见 教程示例:使用RAM Policy控制OSS的访问权限。Anonymous user has no right to access this bucket 问题原因:匿名用户无权访问此Bucket。解决方案:请通过Bucket Policy授权匿名用户访问目标...
2、RAM子账号访问IDaaS控制台
说明 访问 CIAM 控制台的每个系统管理员都需要拥有阿里云 RAM 子账户,并将子账户 uid 与 CIAM 进行绑定,并确保子账户在 RAM 中拥有 IDaaS 的访问权限 AliyunYundunIdaasFullAccess。如果您在登录 IDaaS控制台 的过程中,出现异常信息如下...
云服务器ECS安全性
本文介绍阿里云在面对当前的网络安全形势和挑战时所采取的措施,以及提高用户在使用账号、实例、操作系统和资源等方面的安全性所具备的能力。背景信息 安全涵盖的范围广泛,阿里云保证自身...除了对内网网络访问的控制之外,还需要配置云防火...
平台支持的资源限制说明
访问权限。针对同一阿里云账号(主账号)下的ACK集群,推荐您使用服务关联角色SLR(Service Linked Role)的方式获取其他云服务的访问权限。具体操作,请参见 接入和管理集群。如果您需要使用RAM账号访问ACK集群,则需要该资源账号已经配置...
清除KubeConfig
您自行管理账号和容器服务集群的授权范围,应遵循权限的最小化原则,并及时更新清除不恰当、失效的授权,例如,已离职员工不应再持有容器服务集群的访问权限。同时,建议您 通过ack-ram-authenticator完成ACK托管集群APIServer的Webhook...
Alibaba Cloud Linux等保2.0三级版镜像检查规则说明
访问控制 应对登录的用户分配账户和权限。除系统管理用户之外,应该分配普通用户、审计员、安全员账户。确保用户umask为027或更严格。确保每个用户的home目录权限设置为750或者更严格。应重命名或删除默认账户,修改默认账户的默认口令。...
等保最佳实践
且其中一种鉴别技术至少应使用密码技术来实现 访问控制 应对登录的用户分配账户和权限 应重命名或删除默认账户,修改默认账户的默认口令 应及时删除或停用多余的、过期的账户,避免共享账户的存在 应授予管理用户所需的最小权限,实现管理...
管理文件访问权限
本文介绍如何管理文件访问权限。注意事项 本文以华东1(杭州)外网Endpoint为例。如果您希望通过与OSS同地域的其他阿里云产品访问OSS,请使用内网Endpoint。关于OSS支持的Region与Endpoint的对应关系,请参见 访问域名和数据中心。本文以...
使用OSS静态存储卷
方式三:使用RRSA配置OSS存储卷权限 基于适用于服务账户的RAM角色(RAM Roles for Service Accounts,简称RRSA)功能,您可以在集群内实现PV维度的OpenAPI权限隔离,从而实现云资源访问权限的细粒度隔离,降低安全风险。更多RRSA的背景信息...
只读权限使用说明
权限介绍 如果要实现RAM用户只读访问CADT应用和阿里云资源,则需要配置以下权限:AliyunCADTReadOnlyAccess 所需产品的只读访问权限 添加权限 在 RAM访问控制 用户 页面,找到对应的用户,单击 添加权限。在 添加权限 页面,依次添加以下...
ACK等保加固使用说明
访问控制 应对登录的用户分配账户和权限。除系统管理用户之外,应该分配普通用户、审计员、安全员账户。确保用户umask为027或更严格。确保每个用户的home目录权限设置为750或者更严格。应重命名或删除默认账户,修改默认账户的默认口令。...
ModifyUniBackupPolicy-更新数据库防勒索策略
调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:操作:是指具体的权限点。访问级别:是指每个操作的访问级别,取值为写入(Write)、读取...
SAP HANA 操作指南
安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。更多信息,请参见 安全组介绍。设置 SAProuter 接入 SAP技术支持 SAProuter 是一个用来远程连接客户网络和 SAP 网络的软件。由于在...
术语表-字母表
A:ABAC:Attribute-based Access Control 基于属性的访问控制,基于用户属性进行访问权限判断。ACL:Access Control List 访问控制列表,一种基于包过滤的访问控制技术。Access_token:是授权令牌,用于调用 IdP 提供的接口。AD:Active ...
- 产品推荐
- 这些文档可能帮助您