具体操作,请参见 创建可信实体为身份提供商的RAM角色。使用同样的方法,在Account2中创建与Account1中同名的身份提供商(ADFS)和角色(ADFS-Admin和ADFS-Reader),并为两个角色分别授予 AdministratorAccess 和 ReadOnlyAccess 权限。...
步骤三:在阿里云创建RAM角色 在RAM控制台的左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建角色 面板,选择可信实体类型为 身份提供商,单击 下一步。输入 角色名称(例如:Reader-OneLogin)和 备注。选择身份...
步骤三:为RAM角色授权 您可以根据实际需要,为 步骤二 创建的RAM角色 testoidc 授予访问阿里云资源的权限。使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击目标RAM角色 操作 列的 添加权限。在 添加...
步骤五:在阿里云创建RAM角色 在RAM控制台的左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建角色 面板,选择可信实体类型为 身份提供商,单击 下一步。输入 角色名称(worker)和 备注。选择身份提供商类型为 SAML...
操作流程 本文的配置目标是在Okta应用中创建一个名为approle的属性,并根据这个属性的值来映射访问阿里云的RAM角色。您可以按照下图所示的操作流程完成阿里云、Okta的配置。步骤一:在Okta创建支持SAML SSO的应用 登录 Okta门户。单击页面...
步骤四:在阿里云创建RAM角色 在RAM控制台的左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建角色 面板,选择可信实体类型为 身份提供商,然后单击 下一步。输入 角色名称 AADrole 和 备注。选择身份提供商类型为 ...
如果企业A与企业B的合作终止,企业A只需要撤销阿里云账号B对RAM角色的使用。此时阿里云账号B下的所有RAM用户对RAM角色的使用权限将被自动撤销。具体操作,请参见 撤销跨阿里云账号授权。跨阿里云账号授权 阿里云账号A创建可信实体为 阿里云...
本文为您介绍RAM角色的定义、分类、应用场景、基本概念、使用流程和使用限制。什么是RAM角色 RAM角色是一种虚拟用户,可以被授予一组权限策略。...扮演成功后,可信实体将获得RAM角色的临时...使用限制 关于RAM角色的使用限制,请参见 使用限制。
本文介绍移动应用如何使用RAM角色的临时安全令牌(STS Token)访问阿里云资源。背景信息 企业A开发了一款移动应用(App),并购买了对象存储(OSS)服务。App需要直连OSS上传或下载数据,但是App运行在用户自己的移动设备上,这些设备不受...
身份(Identity)访问控制(RAM)中有三种身份:RAM用户、用户组和RAM角色。其中RAM用户和用户组是RAM的一种实体身份类型,RAM角色是一种虚拟用户身份。默认域名(Default domain name)阿里云为每个阿里云账号分配了一个 默认域名,格式为...
角色SSO 支持基于SAML 2.0和OIDC的两种角色SSO:SAML角色SSO:阿里云通过IdP颁发的SAML断言确定企业用户在阿里云上可以使用的RAM角色。企业用户登录后,使用SAML断言中指定的RAM角色访问阿里云资源。请参见 SAML角色SSO概览。OIDC角色SSO:...
使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建角色 页面,选择可信实体类型为 身份提供商,然后单击 下一步。输入 角色名称 和 备注。选择身份提供商类型为 SAML。选择身份提供商...
说明 如果SAML响应中包含映射到多个RAM角色的属性,系统将会首先提示用户选择一个用于访问阿里云的角色。SSO服务将URL返回给浏览器。浏览器重定向到该URL,以指定RAM角色登录到阿里云控制台。通过程序访问阿里云 企业员工Alice可以通过编写...
Pod内程序使用挂载的OIDC Token文件访问STS服务的AssumeRoleWithOIDC接口,获取扮演指定RAM角色的临时凭证。说明 请提前修改RAM角色配置,允许Pod使用的服务账户扮演该RAM角色。更多信息,请参见 AssumeRoleWithOIDC。Pod内程序使用获取到...
通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见 设置角色最大会话时间。程序访问 临时访问凭证(STS Token)时长限制 通过调用 AssumeRoleWithSAML 获取的STS Token的有效期受到以下配置的限制:SAML断言中 AuthnStatement ...
一次完整的权限策略判定流程包含以下步骤:判定程序收集访问请求涉及的所有类型的权限策略,包括:资源目录的 管控策略(Control Policy)、RAM角色的会话策略(Session Policy)、基于身份的策略(Identity-based Policy)和基于资源的...
接口说明 使用说明 关于 RAM 角色的介绍,请参见 RAM 角色概览。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,...
通过调用API扮演RAM角色 有权限的RAM用户可以使用其访问密钥(AccessKey)调用 AssumeRole-获取扮演角色的临时身份凭证 接口,以获取某个RAM角色的临时安全令牌(STS Token),从而使用STS Token访问阿里云。说明 如果您通过扮演角色获取的...
治理建议 根据不同情况的AccessKey,治理建议分别如下:针对从未使用的RAM用户AccessKey 建议您直接禁用该AccessKey。禁用90天后,如果没有发生与该AccessKey相关的问题,则可以直接删除该AccessKey。具体操作,请参见 禁用RAM用户的...
操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建角色 页面,选择可信实体类型为 阿里云账号,然后单击 下一步。设置角色信息。输入 角色名称。输入 备注。选择信任的云...
扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就能以RAM角色身份访问被授权的资源。RAM角色类型 根据不同的可信实体,RAM角色分为以下三类:可信实体为阿里云账号的RAM角色:允许RAM用户扮演...
当企业有多种云资源时,使用RAM的身份管理与权限管理功能,实现用户分权及资源统一管理。前提条件 进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成 账号注册。背景信息 企业A的某个项目(Project-X)上云,购买了多种阿里...
创建RAM角色时需要为RAM角色添加信任策略,该信任策略用于指定允许扮演RAM角色的 可信实体,是一种基于资源的策略。当可信实体扮演某个RAM角色时,又需要拥有扮演RAM角色的相应权限,这是可信实体的基于身份的策略。当可信实体扮演RAM角色...
AliyunNASRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略详情 类型:...
功能特性 使用RAM用户扮演角色时获取STS Token 有权限的RAM用户可以使用自己的访问密钥调用 AssumeRole-获取扮演角色的临时身份凭证 接口,以获取某个RAM角色的STS Token,从而使用STS Token访问阿里云资源。通常用于跨账号访问场景和临时...
AliyunRDSImportRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略详情 ...
AliyunRDSImportRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略详情 ...
AliyunNASLogArchiveRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略...
AliyunRDSNotificationRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略...
AliyunRDSNotificationRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略...
RAM角色的信任策略不包含您正在使用的RAM用户,即RAM角色不允许该RAM用户扮演。请为RAM角色添加允许该RAM用户扮演的信任策略。更多信息,请参见 修改RAM角色的信任策略。AssumeRole接口允许谁调用?AssumeRole 接口用于获取一个扮演RAM角色...
AliyunCDNLoggingRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略详情 ...
您可以通过控制台或API设置RAM角色的最大会话时间。RAM角色最大会话时间设置成功后,当您使用RAM角色完成一些耗时较长的任务时,可以获得较长的登录会话时间;当您使用STS API扮演RAM角色时,可以获取较长的STS Token有效期。使用限制 RAM...
AliyunDCDNLogPushOSSRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略...
AliyunOpenSearchOsepRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略...
AliyunRDSSqlExplorerRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略...
AliyunServiceRolePolicyForGaAlb 是专用于服务关联角色的授权策略,会在创建服务关联角色 AliyunServiceRoleForGaAlb 时自动授权,以允许服务关联角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务关联...
AliyunServiceRolePolicyForGaOss 是专用于服务关联角色的授权策略,会在创建服务关联角色 AliyunServiceRoleForGaOss 时自动授权,以允许服务关联角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务关联...
AliyunRDSSqlExplorerRolePolicy 是专用于服务角色的授权策略,通常会在创建对应的服务角色时同步完成授权,以允许服务角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务角色之外的 RAM 身份使用。策略...
AliyunServiceRolePolicyForAlbFc 是专用于服务关联角色的授权策略,会在创建服务关联角色 AliyunServiceRoleForAlbFc 时自动授权,以允许服务关联角色代您访问其他云服务。本策略由对应的阿里云服务按需更新,请勿将本策略授权给服务关联...