使用ExternalId防止混淆代理人问题
第三方供应商通过调用 AssumeRole 接口扮演角色的时候,需要提供颁发给这个客户的ExternalId,不提供或者提供错误都会失败。操作步骤 本示例中,第三方供应商Deputy需要使用自己的阿里云账号Deputy_Account访问客户的阿里云账号Customer_...
进阶使用STS
步骤六:RAM用户临时访问资源 获得扮演角色的临时身份凭证后,RAM用户便可以在调用SDK的请求中传入该临时身份凭证信息,扮演角色。Java SDK示例:RAM用户在调用请求中,传入临时身份凭证的AccessKey ID、AccessKey Secret和SecurityToken...
服务关联角色
重要 服务关联角色创建成功后,受信云服务可以通过角色扮演的方式跨服务访问对应云资源,可能会因创建 日志服务 而产生资费,请您知悉。查看服务关联角色 当服务关联角色创建成功后,您可以在 RAM控制台的角色页面,通过搜索 ...
如何调整登录会话时长或临时访问凭证有效期?
RAM角色扮演 控制台切换身份 登录会话时长限制 在控制台上通过切换角色方式扮演RAM角色时,切换到RAM角色身份后,登录会话时长受以下配置的限制:RAM用户安全策略中的 登录会话的过期时间。更多信息,请参见 管理RAM用户安全设置。被扮演...
OSS
格式为 {roleName}:{sessionName},roleName 表示被扮演的角色名称,sessionName 表示进行角色扮演时指定的名称。取值为 oss-role:roleTest123,表示被扮演的RAM角色名称是 oss-role,进行角色扮演时指定的名称为 roleTest123。...
身份管理
通过角色扮演代替固定身份 基于缩小暴露面积的原则,使用临时身份替代固定身份,能极大降低身份泄漏风险,同时对于人员身份来说,也能够抽象人员权限模型,如按人员职能进行角色划分,有利于规范化人员权限设置,提升管理效率。在云上,...
服务关联角色
重要 服务关联角色创建成功后,受信云服务可以通过角色扮演的方式跨服务访问对应云资源,可能会因创建KMS实例、使用日志服务而产生资费,请您知悉。查看服务关联角色 当服务关联角色创建成功后,您可以在 RAM控制台的角色页面,通过搜索...
服务关联角色
重要 服务关联角色创建成功后,受信云服务可以通过角色扮演的方式跨服务访问对应云资源,可能会因创建云服务器ECS、专有网络VPC、云数据库RDS等而产生资费,请您知悉。此外,您也可以通过RAM控制台或API方式为弹性伸缩手动创建服务关联角色...
服务关联角色
可信云服务可以通过RAM角色扮演的方式访问其他云服务的资源。可信实体为阿里云服务的RAM角色分为两种:普通服务角色和服务关联角色。本文主要介绍服务关联角色。什么是服务关联角色 在某些场景下,一个云服务为了完成自身的某个功能,需要...
跨账号STS Token方式调用
STS Token应用场景 STS Token可以支持跨账号使用风险识别产品,一个典型的场景是:同一个客户的A账号购买了风险识别流量包,而在正式使用时,其期望通过B账号发起请求,此时可以通过角色扮演调用。这样做的好处是满足了跨账号调用的同时,...
服务关联角色
可信云服务可以通过RAM角色扮演的方式访问其他云服务的资源。可信实体为阿里云服务的RAM角色,包括普通服务角色和服务关联角色。在某些场景下,函数计算 为了完成自身的某个功能,需要获取其他云服务的访问权限,因此,函数计算 创建了与...
KMS
取值为 aliyunedasdefaultrole:fb23c186-5930-498a-a630-0a*,表示被扮演的RAM角色名称是 aliyunedasdefaultrole,进行角色扮演时指定的名称为 fb23c186-5930-498a-a630-0a*。说明 企业级分布式应用服务EDAS默认使用 aliyunedasdefaultrole...
用户认证
通过RAM角色访问MaxCompute RAM角色不代表某个特定的人员,可以由任何有需要的人员扮演,同时RAM角色没有账号/密码或者AccessKey的认证凭证,需在角色扮演时使用临时安全令牌(STS)进行身份认证。使用RAM角色访问MaxCompute主要满足以下...
集成概览
角色使用 通过角色扮演获取STS Token。STS OpenAPI 无 单点登录(SSO)管理 管理进行用户SSO和角色SSO时的身份提供商。IMS OpenAPI 无 角色SSO使用 通过角色SSO获取STS Token。STS OpenAPI 无 开放授权(OAuth)管理 管理应用、应用密钥。...
设置RAM角色最大会话时间
更多信息,请参见:使用RAM角色 SAML角色SSO概览 OIDC角色SSO概览 AssumeRole-获取扮演角色的临时身份凭证 AssumeRoleWithSAML-SAML角色SSO时获取扮演角色的临时身份凭证 AssumeRoleWithOIDC-OIDC角色SSO时获取扮演角色的临时身份凭证 相关...
配置使用自定义OSS Bucket时的RAM访问控制
修改RAM用户的角色扮演权限策略。具体操作,请参见 能否指定RAM用户具体可以扮演哪个RAM角色?单击 完成。单击 关闭。步骤二:配置RAM角色的权限策略 配置该RAM角色的策略,使其拥有对指定的OSS Bucket资源读取容器镜像仓库信息的权限,RAM...
RAM和STS介绍
而且通过扮演角色可以将权限授予其他的阿里云用户,更加方便了协同使用。当然,提供了灵活性并不代表一定要使用全部的功能,应该根据需求来使用其中的一个子集。例如,不需要带过期时间的临时访问凭证,可以只使用RAM的RAM用户功能而无需...
概述
RAM用户可以扮演角色,扮演角色的时候的权限是该角色自身的权限。说明 RAM用户和角色可以类比为个人和其身份的关系:某人在公司的角色是员工,在家里的角色是父亲,在不同的场景扮演不同的角色,但是还是同一个人。在扮演不同的角色的时候...
ECS
RAM角色通过角色扮演停止ECS实例 以下示例表示,在北京时间2021年08月04日14:50:10,阿里云服务弹性伸缩通过扮演服务关联角色 aliyunserviceroleforautoscaling,停止了北京地域ID为 i-2zeeryqubk6402qw*的ECS实例。{"eventId":"E7233050-...
SLB
RAM角色通过角色扮演删除SLB实例 以下示例表示,在北京时间2021年08月05日09:10:13,容器服务ACK通过扮演角色 aliyuncsdefaultrole,删除了杭州地域ID为 lb-bp1bqozygmlt8wohe*的SLB实例。{"eventId":"379F4611-D4C0-5DE7-A152-DDEA715A5E...
RAM角色和STS Token常见问题
扮演角色的RAM用户可以属于自己的阿里云账号,也可以属于其他阿里云账号。此类角色主要用来解决跨账号访问和临时授权问题。阿里云服务:允许云服务所扮演的角色。此类角色主要用于解决跨云服务授权访问问题。例如:ECS实例RAM角色就是这个...
ALIYUN:ROS:StackGroup
创建自助管理权限模式的资源栈组时,需指定管理员角色扮演的RAM执行角色名称。若不指定,则使用AliyunROSStackGroupExecutionRole作为默认值。ROS以该角色身份来操作资源栈组中资源栈实例所对应的资源栈。长度为1~64个字符,可包含英文字母...
创建可信实体为身份提供商的RAM角色
用来扮演角色的OIDC令牌中的iss字段值必须满足该限制条件要求,角色才允许被扮演。该限定条件必须使用StringEquals作为条件操作类型,条件值只能是您在OIDC身份提供商中填写的颁发者URL。该限制条件用于确保只有受信颁发者颁发的OIDC令牌...
跨阿里云账号传输专有网络下的自建数据库时如何配置...
修改RAM用户的角色扮演权限策略。具体操作,请参见 能否指定RAM用户具体可以扮演哪个RAM角色?单击 完成。单击 精确授权。在 权限管理 页签,单击 精确授权。在 精确授权 面板中,勾选 选择权限类型 为 系统策略。在 输入策略名称 下方的...
借助RAM角色实现跨云账号访问负载均衡资源
修改RAM用户的角色扮演权限策略。具体操作,请参见 能否指定RAM用户具体可以扮演哪个RAM角色?单击 完成,然后单击 关闭。步骤二:企业A为该RAM角色添加权限 新创建的角色没有任何权限,因此企业A必须为该角色添加权限。使用RAM管理员登录 ...
免密拉取ACR镜像
在 Principal 处,将 RAM 字段的值改为role-assume角色的ARN,则表示role-acr角色只可以被role-assume角色扮演。示例如下:"Principal":{"RAM":["acs:ram:1609982529*:role/role-assume"]} 确认权限和信任策略,并获取ARN。权限和ARN 信任...
RDS
取值为 aliyunid-ag-ram-role-admin:default,表示被扮演的RAM角色名称是 aliyunid-ag-ram-role-admin,进行角色扮演时指定的名称为 default。requestParameters.stsTokenPlayerUid:扮演者的阿里云账号ID。取值为 165367888785*。...
物联网平台RAM授权说明
创建RAM角色并授权,然后授予RAM用户角色扮演权限。RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有永久身份凭证(登录密码或访问密钥),需要被一个可信实体扮演。扮演成功后,可信实体将获得RAM角色的临时...
CDN
取值为 aliyunid-ag-ram-role-admin:BASEMENT,表示被扮演的RAM角色名称是 aliyunid-ag-ram-role-admin,进行角色扮演时指定的名称为 BASEMENT。requestParameters.stsTokenPlayerUid:扮演者的阿里云账号ID。取值为 111526800165*。...
通过RAM角色授权模式配置数据源
场景示例:如上文待扮演角色的场景示例所述,当云账号管理者为大数据团队定义了 BigDataOssRole 角色后,需要指定仅相关人员才能使用该角色。您可以自定义Policy为 BigDataOssRoleAllowUse,并授权给相关人员。创建名称为 ...
RAM和STS介绍
扮演角色时,子账号拥有的权限是该角色的权限。授权策略(Policy):用来定义权限的规则,例如允许子账号用户读取或者写入某些资源。资源(Resource):代表子账号用户可访问的云资源,例如表格存储所有的Instance、某个Instance或者某个...
IMS
格式为 {roleName}:{sessionName},roleName 表示被扮演的角色名称,sessionName 表示进行角色扮演时指定的名称。取值为 ram-role:roleTest123,表示被扮演的RAM角色名称是 ram-role,进行角色扮演时指定的名称为 roleTest123。...
借助RAM角色实现跨云账号访问资源
修改RAM用户的角色扮演权限策略。具体操作,请参见 能否指定RAM用户具体可以扮演哪个RAM角色?您可以访问 安全设置 页面查看阿里云账号(主账号)ID。单击 完成。单击 关闭。步骤二:企业A为该RAM角色添加权限 新创建的角色没有任何权限,...
借助RAM角色实现跨云账号访问资源
修改RAM用户的角色扮演权限策略。具体操作,请参见 能否指定RAM用户具体可以扮演哪个RAM角色?您可以访问 安全设置 页面查看阿里云账号(主账号)ID。单击 完成。单击 关闭。步骤二:企业A为该RAM角色添加权限 新创建的角色没有任何权限,...
借助RAM角色实现跨云账号访问资源
背景信息 假设企业A购买了多种云资源来开展业务,并需要授权企业B代为开展部分业务,则可以利用RAM角色来实现此目的。RAM角色是一种虚拟用户,没有确定的...使用STS获取临时安全令牌的方法,请参见 AssumeRole-获取扮演角色的临时身份凭证。
借助RAM角色实现跨云账号访问资源
背景信息 假设企业A购买了多种云资源来开展业务,并需要授权企业B代为开展部分业务,则可以利用RAM角色来实现此目的。RAM角色是一种虚拟用户,没有确定的...使用STS获取临时安全令牌的方法,请参见 AssumeRole-获取扮演角色的临时身份凭证。
借助RAM角色实现跨云账号访问资源
背景信息 假设企业A购买了多种云资源来开展业务,并需要授权企业B代为开展部分业务,则可以利用RAM角色来实现此目的。RAM角色是一种虚拟用户,没有确定的...使用STS获取临时安全令牌的方法,请参见 AssumeRole-获取扮演角色的临时身份凭证。
借助RAM角色实现跨云账号访问资源
背景信息 假设企业A购买了多种云资源来开展业务,并需要授权企业B代为开展部分业务,则可以利用RAM角色来实现此目的。RAM角色是一种虚拟用户,没有确定的...使用STS获取临时安全令牌的方法,请参见 AssumeRole-获取扮演角色的临时身份凭证。
借助RAM角色实现跨云账号访问资源
背景信息 假设企业A购买了多种云资源来开展业务,并需要授权企业B代为开展部分业务,则可以利用RAM角色来实现此目的。RAM角色是一种虚拟用户,没有确定的...使用STS获取临时安全令牌的方法,请参见 AssumeRole-获取扮演角色的临时身份凭证。
借助RAM角色实现跨云账号访问资源
背景信息 假设企业A购买了多种云资源来开展业务,并需要授权企业B代为开展部分业务,则可以利用RAM角色来实现此目的。RAM角色是一种虚拟用户,没有确定的...使用STS获取临时安全令牌的方法,请参见 AssumeRole-获取扮演角色的临时身份凭证。
- 产品推荐
- 这些文档可能帮助您