创建RAM角色并授权
RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有永久身份凭证(登录密码或访问密钥),需要被一个可信实体扮演。...通过控制台扮演RAM角色 通过调用API扮演RAM角色 可信实体通过角色身份访问被授权的云资源。
创建可信实体为阿里云服务的RAM角色
可信实体为阿里云服务的RAM角色主要用于解决跨云服务授权访问的问题。该RAM角色允许可信的阿里云服务扮演。服务角色分类 普通服务角色:您需要自定义角色名称,选择受信服务,并自定义权限策略。服务关联角色:您只需选择可信的云服务,...
创建可信实体为阿里云账号的RAM角色
可信实体的RAM用户通过控制台或API扮演角色并获取角色的安全令牌(STS Token),然后以RAM角色身份访问对应的云资源。具体操作,请参见 扮演RAM角色。相关文档 CreateRole-创建角色 跨阿里云账号的资源授权 移动应用使用临时安全令牌访问...
创建可信实体为身份提供商的RAM角色
在 创建角色 页面,选择可信实体类型为 身份提供商,然后单击 下一步。输入 角色名称 和 备注。选择身份提供商类型为 SAML。选择身份提供商并查看限制条件。说明 目前只支持一个条件关键字 saml:recipient,必选且不能修改。单击 完成。...
创建RAM角色并进行STS授权
在 角色 页面,单击 创建角色。在 创建角色 面板,选择可信实体类型为 阿里云账号,然后单击 下一步。设置角色信息。输入 角色名称。可选:输入 备注。选择云账号。当前云账号:当您允许当前阿里云账号下的RAM用户扮演该RAM角色时,您可以...
CreateRole-创建角色
调用CreateRole接口创建RAM角色。接口说明 使用说明 关于 RAM 角色的介绍,请参见 RAM 角色概览。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权...
CreateSAMLProvider-创建角色SSO身份提供商
创建一个角色SSO的身份提供商配置。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 ...
创建可信实体为阿里云服务的RAM角色及授权
其中,访问控制提供如下两种日志服务的系统策略。AliyunLogFullAccess:管理日志服务的权限。AliyunLogReadOnlyAccess:只读访问日志服务的权限。当系统策略无法满足您的需求,您可以通过创建自定义策略实现精细化权限管理。具体操作,请...
创建可信实体为阿里云账号的RAM角色及授权
在 角色 页面,单击 创建角色。在 选择类型 配置向导中,选择可信实体类型为 阿里云账号,然后单击 下一步。在 配置角色 配置向导中,配置如下内容,然后单击 完成。参数 说明 角色名称 输入角色名称,例如aliyunlogreadrole。备注 输入...
RAM角色概览
什么是RAM角色 RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有永久身份凭证(登录密码或访问密钥),需要被一个可信实体扮演。扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),...
设置RAM角色最大会话时间
通过API设置角色最大会话时间 调用 CreateRole-创建角色 接口,通过 MaxSessionDuration 参数在创建RAM角色时设置角色最大会话时间。调用 UpdateRole-更新角色信息 接口,通过 NewMaxSessionDuration 参数修改RAM角色的最大会话时间。后续...
什么是STS
RAM角色 RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有确定的登录密码或访问密钥,它需要被一个可信的实体用户(RAM用户、阿里云服务或身份提供商)扮演。扮演成功后实体用户将获得RAM角色的临时身份凭证,...
跨阿里云账号的资源授权
RAM角色创建成功后,在角色基本信息页面中可以查看到该RAM角色的ARN和信任策略。RAM角色的ARN为 acs:ram:123456789012*:role/ecs-admin。RAM角色的信任策略如下:说明 以下策略表示允许阿里云账号B下的RAM用户来扮演该RAM角色。{"Statement...
修改RAM角色的信任策略
一般情况下,创建RAM角色后,您不需要主动修改RAM角色的可信实体。如果某些特殊场景下确有需要,您可以通过本文所述的几种方式修改。警告 修改RAM角色信任策略中的可信实体,会变更可信对象,可能会影响业务正常运行。请务必在测试账号充分...
对云上应用进行动态身份管理与授权
当企业购买阿里云服务后,应用程序通过访问控制(RAM)可以获取RAM角色的临时安全令牌,从而访问阿里云。背景信息 企业A购买了ECS实例,并计划在ECS实例中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API...
移动应用使用临时安全令牌访问阿里云
RAM角色创建成功后,在角色基本信息页面可以查看到该RAM角色的ARN和信任策略。RAM角色的ARN为 acs:ram:123456789012*:role/oss-objectmanager。RAM角色的信任策略如下。说明 以下策略表示只允许阿里云账号A下的RAM用户来扮演RAM角色。{...
使用Azure AD进行角色SSO的示例
步骤五:将阿里云RAM角色与Azure AD用户进行关联 在Azure AD中创建角色。管理员用户登录 Azure门户。在左侧导航栏,选择 Azure Active Directory>应用注册。单击 所有应用程序 页签,然后单击 Alibaba Cloud Service(Role-based SSO)。在...
STS Python SDK调用示例
登录 RAM访问控制,创建一个RAM用户。具体操作,请参见 创建RAM用户。凭证 进入到对应的 RAM用户 详情页,在 认证管理 页签下的 用户AccessKey 区域,单击 创建AccessKey,创建一个新的AccessKey。具体操作,请参见 创建AccessKey。重要 ...
扮演RAM角色时的权限策略判定流程
当可信实体通过阿里云控制台、API或CLI扮演RAM角色时,需要执行权限策略的判定流程,根据判定结果决定是否允许扮演RAM角色(AssumeRole)。本文为您介绍扮演RAM角色时的权限策略判定流程。说明 扮演RAM角色时的权限策略判定流程,遵从阿里...
RAM用户概览
RAM用户类型 按照RAM用户的创建途径,RAM用户分为以下几种:手动创建:在RAM中创建的RAM用户。更多信息,请参见 创建RAM用户。SCIM同步:通过SCIM协议从身份提供商(IdP)同步到RAM中创建的用户,不支持手动删除。更多信息,请参见 通过...
API概览
本产品(访问控制/2015-05-01)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用需求,可通过...
GetAccountSummary-查询主账号概览信息
5 RolesQuota integer 允许创建 RAM 角色的最大数量。1000 UsersQuota integer 允许创建 RAM 用户的最大数量。1000 Policies integer 自定义策略数量。13 Users integer RAM 用户数量。9 MFADevicesInUse integer 使用中的虚拟多因素认证...
使用OneLogin进行角色SSO的示例
在 创建角色 面板,选择可信实体类型为 身份提供商,单击 下一步。输入 角色名称(例如:Reader-OneLogin)和 备注。选择身份提供商类型为 SAML。选择从 步骤二:在阿里云创建身份提供商 中创建的身份提供商(OneLogin)并查看限制条件后,...
UpdateRole-更新角色信息
ECSAdmin CreateDate string RAM 角色的创建时间。2015-01-23T12:33:18Z RoleId string RAM 角色 ID。901234567890*Arn string RAM 角色的资源描述符。acs:ram:123456789012*:role/ECSAdmin RequestId string 请求 ID。04F0F334-1335-436C-...
为RAM角色移除权限
方式一:在RAM角色页面为RAM角色移除权限 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击目标RAM角色名称。在 权限管理 页签,单击目标权限策略 操作 列的 解除授权。您也可以选中多个权限策略,单击...
删除RAM角色
当您不再需要某个RAM角色时,可以删除该RAM角色。操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击目标RAM角色 操作 列的 删除角色。在 删除角色 对话框,输入RAM角色名称,然后单击 删除角色...
集成概览
总览 访问控制的OpenAPI包括:IMS(Identity Management Service)OpenAPI、RAM(Resource Access Management)OpenAPI和STS(Security Token Service)OpenAPI。您需要根据不同的使用场景选择不同的OpenAPI使用,具体如下表所示。场景 ...
使用 IDaaS 同步LDAP/钉钉账户至 RAM
一、开通 IDaaS 实例 访问 阿⾥云 IDaaS 管理控制台,也可通过产品与服务导航,定位到应⽤身份服务,单击进⼊应⽤身份服务管理控制台。点击免费创建实例。二、AD 数据同步到 IDaaS 本文以 AD 作为示例,实际对接的时候请根据您企业的实情...
API概览
AssumeRoleWithSAML SAML角色SSO时获取扮演角色的临时身份凭证 进行SAML角色SSO时,通过调用AssumeRoleWithSAML接口,获取扮演RAM角色的临时身份凭证(STS Token)。AssumeRoleWithOIDC OIDC角色SSO时获取扮演角色的临时身份凭证 进行OIDC...
如何排查无权限的访问错误?
本文为您介绍在使用RAM用户或RAM角色访问阿里云时遇到的无权限问题的解决方法。问题描述 RAM身份(RAM用户和RAM角色)默认没有任何操作权限,只有被显式授予权限后,才能访问特定的云资源。对RAM身份授权的效果包括两种:允许(Allow)和...
如何调整登录会话时长或临时访问凭证有效期?
RAM角色扮演 控制台切换身份 登录会话时长限制 在控制台上通过切换角色方式扮演RAM角色时,切换到RAM角色身份后,登录会话时长受以下配置的限制:RAM用户安全策略中的 登录会话的过期时间。更多信息,请参见 管理RAM用户安全设置。被扮演...
跨云服务授权
跨云服务授权是指允许云服务A访问云服务B中的资源。本文将为您提供跨云服务授权的权限策略示例。您可以通过通用授权或精确授权两种方式完成授权操作:通用授权 阿里云账号下被授权的RAM用户可以对所有的云服务进行跨云服务授权。{...
通过操作审计查看RAM的操作事件
操作审计可以追踪并记录阿里云账号、RAM用户或RAM角色在RAM上的操作事件,本文为您介绍如何通过操作审计查看RAM的操作事件。背景信息 操作审计追踪并记录的RAM操作事件示例如下:IMS STS RAM用户登录事件 关于操作事件字段的含义,请参见 ...
管理权限策略引用记录
删除引用记录(解除授权):单击目标引用记录 操作 列的 解除授权,然后在 解除授权 对话框中单击 解除授权,为RAM用户、用户组或RAM角色移除授权,即删除一条引用记录。说明 您可以选中多条引用记录,单击引用记录列表下方的 解除授权,...
不使用主账号AccessKey
在RAM控制台,创建RAM用户。具体操作,请参见 创建RAM用户。为RAM用户授予您程序或应用所需的访问权限。建议您遵循最小化授权原则为RAM用户授予恰好够用的权限。您可以创建自定义策略,进行精细化授权。如果您对自定义策略还不太了解,也...
DeleteRole-删除指定的角色
操作 访问级别 资源类型 条件关键字 关联操作 ram:DeleteRole Write Role acs:ram:*:{#accountId}:role/{#RoleName} ram:TrustedPrincipalTypes ram:ServiceNames 无 请求参数 名称 类型 必填 描述 示例值 RoleName string 是 指定角色名称...
控制台用户和程序用户分离
治理建议 判断当前RAM用户(User1)有无访问控制台的需求。无:禁用控制台访问方式。具体操作,请参见 修改控制台登录设置。有:进行下一步操作。创建一个新的RAM用户(User2),启用控制台访问方式。具体操作,请参见 创建RAM用户 和 启用...
创建RAM用户
新创建的RAM用户没有任何权限,您需要为RAM用户添加权限,然后该RAM用户才能访问相应的云资源。更多信息,请参见 为RAM用户授权。使用RAM用户登录阿里云控制台或使用AccessKey调用API。更多信息,请参见 RAM用户登录阿里云控制台 和 使用...
创建AccessKey
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会...
- 产品推荐
- 这些文档可能帮助您