获取用户凭证报告
通过RAM您可以生成和下载阿里云账号和RAM用户的登录凭证信息,包括控制台登录密码、访问密钥(AccessKey)和多因素认证(MFA)。您可以使用用户凭证报告进行合规性审计。使用限制 如果RAM用户数量超过3500个,将无法生成用户凭证报告。操作...
多因素认证(MFA)常见问题
具体操作,请参见 创建RAM用户 或 管理RAM用户登录设置。经过以上设置后,RAM用户登录控制台时会先要求绑定MFA设备,绑定成功后,后续登录时会要求输入MFA安全码。关于如何绑定MFA设备,请参见 为RAM用户绑定MFA设备。如何停用RAM用户登录...
创建可信实体为阿里云账号的RAM角色并授权
在 角色 页面,单击 创建角色。在 创建角色 页面,选择可信实体类型为 阿里云账号,然后单击 下一步。设置角色信息。输入 角色名称。输入 备注。选择信任的云账号。当前云账号:当您允许 当前阿里云账号 下的所有RAM用户扮演该RAM角色时,...
扮演RAM角色
通过控制台扮演RAM角色 RAM用户 或角色SSO 登录后,可以通过切换身份的方式扮演RAM角色。使用RAM用户登录 RAM控制台。将鼠标悬停在右上角头像的位置,单击 切换身份。在 角色切换 页面,输入RAM角色信息。输入RAM角色对应的企业别名(账号...
RAM角色和STS Token常见问题
RAM角色的信任策略不包含您正在使用的RAM用户,即RAM角色不允许该RAM用户扮演。请为RAM角色添加允许该RAM用户扮演的信任策略。更多信息,请参见 修改RAM角色的信任策略。AssumeRole接口允许谁调用?AssumeRole 接口用于获取一个扮演RAM角色...
SAML角色SSO概览
企业需要RAM控制台或程序创建用于SSO的RAM角色,并授予相关权限。更多信息,请参见 创建可信实体为身份提供商的RAM角色。为了建立企业IdP对阿里云的信任,需要在企业IdP中配置阿里云为可信SAML SP并进行SAML断言属性的配置。更多信息,请...
RAM用户组概览
RAM用户组是RAM的一种实体身份类型,RAM用户组可以对职责相同的RAM用户进行分类并授权,从而更高效地管理RAM用户及其权限。应用场景 在RAM用户职责发生变化时,只需将其移动到相应职责的RAM用户组下,不会对其他RAM用户产生影响。当RAM用户...
服务关联角色
创建服务关联角色 某些云服务将在您执行某些特定操作(例如:创建一个云资源或开启一个功能)时自动创建服务关联角色,您可以在RAM控制台的角色管理页面、API或CLI调用 ListRoles 的返回结果中查看自动创建的服务关联角色。此外,您也可以...
访问密钥(AccessKey)常见问题
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。创建AccessKey后,可以查看哪些信息?创建AccessKey后,您可以再次查看AccessKey ID、状态、最后使用时间...
创建账号管理员
步骤二:RAM用户登录阿里云控制台 使用新创建的RAM用户登录 阿里云控制台。说明 RAM用户登录页面与阿里云账号(主账号)登录页面不同。更多信息,请参见 RAM用户登录阿里云控制台。在 RAM用户登录 页面的 RAM用户名密码登录 页签,输入RAM...
对OSS、SLS的访问进行收敛
治理建议 通过导入模板方式为RAM身份创建权限策略,指定其访问某些Bucket、Logstore、Log Project等资源。导入模板后,建议根据自身需求进一步缩小权限。具体操作,请参见 通过导入模板创建自定义权限策略。治理难度 治理难度中。
计费方法
本文为您介绍访问控制(RAM)的计费方法。访问控制(RAM)为免费产品,只要经过实名认证的阿里云账号就可以直接使用,该产品暂不支持关闭。实名认证的详情请参见:个人实名认证、企业实名认证。icmsDocProps={'productMethod':'created','...
不使用主账号登录
风险说明 主账号权限极大,无法进行条件限制(例如:访问来源IP地址、访问时间等),多人共用时无法在审计日志中区分出具体...更多信息,请参见 SSO概览、创建RAM用户、为RAM用户授权、为RAM用户绑定多因素认证设备。治理难度 治理难度低。
OIDC角色SSO概览
在阿里云RAM中创建可信实体为OIDC身份提供商的RAM角色,并为RAM角色授权。具体操作,请参见 创建OIDC身份提供商的RAM角色 和 为RAM角色授权。在外部IdP中签发OIDC令牌(OIDC Token)。具体操作,请参见外部IdP的对应文档。使用OIDC Token...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(RAM)为RAM权限策略定义...
基本概念
身份(Identity)访问控制(RAM)中有三种身份:RAM用户、用户组和RAM角色。其中RAM用户和用户组是RAM的一种实体身份类型,RAM角色是一种虚拟用户身份。默认域名(Default domain name)阿里云为每个阿里云账号分配了一个 默认域名,格式为...
清理闲置RAM用户
最佳实践 对于人员用户,建议使用单点登录(SSO登录)方式访问控制台,降低身份暴露风险。如果暂无条件使用单点登录(SSO登录)方式,建议定期审计有控制台登录权限的RAM用户的使用情况,定期清理闲置RAM用户。治理建议 对于确定没有登录...
AssumeRoleWithSAML-SAML角色SSO时获取扮演角色的临时...
进行SAML角色SSO时,通过调用AssumeRoleWithSAML接口,获取扮演RAM角色的临时身份凭证(STS Token)。接口说明 前提条件 确保已从外部身份提供商(IdP)获取到 SAML 响应。确保已在 RAM 中创建了 SAML 身份提供商。具体操作,请参见 创建 ...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(IMS)为RAM权限策略定义...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(RAM)为RAM权限策略定义...
AssumeRole-获取扮演角色的临时身份凭证
通过调用AssumeRole接口,获取一个扮演RAM角色的临时身份凭证(STS Token)。接口说明 前提条件 该接口不能使用阿里云账号(主账号)调用,只能使用 RAM 用户或 RAM 角色调用,请确保已为调用者(RAM 用户或 RAM 角色)授予 STS 的管理权限...
通过SCIM协议同步Okta用户到阿里云RAM
通过SCIM 2.0标准协议,结合阿里云OAuth应用的安全授权,您可以将Okta中的用户同步到阿里云访问控制(RAM)中。前提条件 本文中所有RAM控制台的操作,请使用阿里云账号(主账号)、RAM管理员或具有OAuth管理权限的RAM用户完成。本文中所有...
为RAM角色授权
方式一:在RAM角色页面为RAM角色授权 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击目标RAM角色 操作 列的 新增授权。您也可以选中多个RAM角色,单击角色列表下方的 新增授权,为RAM角色批量授权。...
权限策略判定流程
当RAM身份(RAM用户或RAM角色)通过阿里云控制台、API或CLI发起资源访问请求时,都需要执行权限策略的判定流程,根据判定结果决定是否允许访问。本文为您介绍阿里云的权限策略判定流程。概述 阿里云支持多种类型的权限策略。一次完整的权限...
查看RAM用户的AccessKey信息
本文为您介绍如何查看RAM用户的访问密钥(AccessKey)信息,包括AccessKey ID、状态、最后使用云服务及创建时间等。AccessKey Secret只在创建时显示,不支持查看。RAM管理员查看所有RAM用户的AccessKey信息 阿里云账号(主账号)或RAM管理...
AliyunDataQReadOnlyAccess
AliyunDataQReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunDataQReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问DataQ管理控制台。策略详情 类型:系统策略 创建时间:2024-04-...
查看RAM角色
本文为您介绍如何查看RAM角色基本信息,包括角色基本信息、角色的权限策略和角色的信任策略。操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击目标RAM角色名称。查看RAM角色信息。在 基本信息...
AliyunEventBridgeResourceCreatePolicy
AliyunEventBridgeResourceCreatePolicy 是阿里云管理的产品系统策略,您可以将 AliyunEventBridgeResourceCreatePolicy 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 事件总线EventBridge资源创建授权策略。...
AliyunUEMFullAccess
AliyunUEMFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunUEMFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 管理终端访问控制系统(UEM)的权限。策略详情 类型:系统策略 创建时间:2020-04-14 ...
创建并验证域别名
创建并验证域别名成功后,RAM用户登录控制台时可以使用该域别名作为登录用户名的后缀。前提条件 请确保您已经持有公网上可以解析的域名。操作步骤 登录RAM控制台,创建域别名。使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 身份管理>...
避免为过多RAM身份授予RAM高危权限
风险说明 针对RAM身份的权限管理,建议遵循最小化原则,仅授予...针对程序身份,非必要不授予RAM相关权限,建议根据程序所需要访问的API和资源等创建自定义权限策略,精细化授权。具体操作,请参见 创建自定义权限策略。治理难度 治理难度中。
AliyunSysomReadOnlyAccess
AliyunSysomReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunSysomReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 SysOM只读权限。策略详情 类型:系统策略 创建时间:2024-02-26 13:58:28...
AliyunVpcPeerReadOnlyAccess
AliyunVpcPeerReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunVpcPeerReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 VpcPeer只读策略。策略详情 类型:系统策略 创建时间:2022-11-29 08...
AliyunARMSPrometheusAccessAuth
AliyunARMSPrometheusAccessAuth 是阿里云管理的产品系统策略,您可以将 AliyunARMSPrometheusAccessAuth 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 访问Prometheus监控服务控制台的权限。策略详情 类型:系统...
AliyunPCDNFullAccess
AliyunPCDNFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunPCDNFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 管理PCDN的权限。策略详情 类型:系统策略 创建时间:2017-08-16 06:50:35 更新时间...
AliyunDataQFullAccess
AliyunDataQFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunDataQFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 管理DataQ的权限。策略详情 类型:系统策略 创建时间:2024-04-01 19:57:47 更新...
AliyunSysomFullAccess
AliyunSysomFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunSysomFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 SysOM完全访问权限。策略详情 类型:系统策略 创建时间:2024-02-26 13:58:47 ...
AliyunUEMReadOnlyAccess
AliyunUEMReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunUEMReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问终端访问控制系统(UEM)的权限。策略详情 类型:系统策略 创建时间...
AliyunVpcPeerFullAccess
AliyunVpcPeerFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunVpcPeerFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 VpcPeer全部权限策略。策略详情 类型:系统策略 创建时间:2022-11-29 08:14:...
AliyunTeambitionReadOnlyAccess
AliyunTeambitionReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunTeambitionReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 Teambition只读权限。策略详情 类型:系统策略 创建时间:2021...
- 产品推荐
- 这些文档可能帮助您