容器计算服务默认角色
开通容器计算服务时,您需要为服务账号授予系统默认角色,当且仅当该角色被正确授予后,容器计算服务才能正常地调用相关云资源(VPC、ENI、NAS、SLB等),创建集群以及保存日志等。本文介绍容器计算服务ACS默认角色包含的权限。角色权限...
管理访问凭证
accessKeySecret:process.env.ALIBABA_CLOUD_ACCESS_KEY_SECRET,/要扮演的RAM角色ARN,示例值:acs:ram:123456789012*:role/adminrole roleArn:'<RoleArn>',/角色会话名称 roleSessionName:'<RoleSessionName>',/设置更小的权限策略,非必...
管理访问凭证
SetAccessKeySecret(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"))./要扮演的RAM角色ARN,示例值:acs:ram:123456789012*:role/adminrole SetRoleArn("<RoleArn>")./角色会话名称 SetRoleSessionName("<RoleSessionName>")./设置更小的...
管理访问凭据
要扮演的RAM角色ARN,示例值:acs:ram:123456789012*:role/adminrole credentialsConfig.setRoleArn("<RoleArn>");角色会话名称 credentialsConfig.setRoleSessionName("<RoleSessionName>")...
管理访问凭据
CLOUD_ACCESS_KEY_SECRET'),security_token=os.environ.get('ALIBABA_CLOUD_SECURITY_TOKEN'),#要扮演的RAM角色ARN,示例值:acs:ram:123456789012*:role/adminrole role_arn='<RoleArn>',#角色会话名称 role_session_name='...
创建可信实体为阿里云服务的RAM角色
该RAM角色允许可信的阿里云服务扮演。服务角色分类 普通服务角色:您需要自定义角色名称,选择受信服务,并自定义权限策略。服务关联角色:您只需选择可信的云服务,云服务会自带预设的角色名称和权限策略。更多信息,请参见 服务关联角色...
RAM角色概览
该类角色主要用于解决跨服务访问问题。可信实体为身份提供商的RAM角色:允许可信身份提供商下的用户所扮演的角色。该类角色主要用于实现与阿里云的单点登录(SSO)。应用场景 临时授权访问 通常情况下,建议您通过服务端调用API,尽可能...
创建RAM角色并授权
该类角色主要用于解决跨服务访问问题。可信实体为身份提供商的RAM角色:允许可信身份提供商下的用户所扮演的角色。该类角色主要用于实现与阿里云的单点登录(SSO)。步骤一:创建RAM角色 不同类型的RAM角色创建方法略有差异,如下将以创建...
通过角色扮演查询操作审计的事件
本文为您介绍通过角色扮演查询操作审计的事件示例及含义。示例 以下示例表示北京时间2021年01月01日08:00:00,阿里云账号 175498693826*中的RAM用户通过扮演阿里云账号 159498693826*下的 custom-role-for-actiontrail 角色来查询操作审计...
授权
隐式授权 云账号下创建RAM角色时,如果我们选择授信实体为当前云账号,表示默认允许云账号下任何一个可以调用 assumeRole 权限的RAM用户或RAM角色扮演该RAM角色。如果该RAM角色被授予了很高的权限,会导致只被赋予了 assumeRole 的某个RAM...
容器服务通过角色扮演创建TCP监听
本文为您介绍阿里云容器服务Kubernetes版(Alibaba Cloud Container Service for Kubernetes)通过角色扮演创建TCP监听的事件示例及含义。示例 以下示例表示容器服务在北京时间2021年01月01日08:00:00通过扮演 159498693826*账号的 ...
RAM用户角色扮演
本文为您介绍RAM用户角色扮演事件的示例及含义。示例 以下示例表示ID为 23890260100229*的RAM用户 Alice,在北京时间2021年08月02日11:42:19通过调用AssumeRole接口扮演 159498693826*账号的 custom-role-for-actiontrail 角色。{"eventId...
资源栈组和资源栈实例状态码
资源编排服务ROS(Resource Orchestration Service...创建或更新资源栈实例时,角色扮演失败,创建或更新资源栈未执行,资源栈实例状态为OUTDATED。创建或更新资源栈实例时,角色扮演成功,创建或更新资源栈失败,资源栈实例状态为OUTDATED。
修改RAM角色的信任策略
RAM角色可以被可信阿里云账号下的所有RAM用户、RAM角色扮演 以下述信任策略为例:该RAM角色可以被阿里云账号(AccountID=123456789012*)下的所有RAM用户、RAM角色扮演。{"Statement":[{"Action":"sts:AssumeRole","Effect":"Allow",...
身份
该类角色主要用于实现与阿里云的单点登录(SSO)。应用场景 临时授权访问 通常情况下,建议您通过服务端调用API,尽可能保证访问密钥不被泄露。但是有些上传文件的场景最好采用客户端直传的形式,避免服务端中转带来的多余开销。此时,可以...
如何定位RAM角色调用事件的真实用户身份?
背景信息 某企业发现阿里云账号 159498693826*中有一个身份类型为 assumed-role 的角色扮演事件,需要定位该事件的调用者,事件详情如下:{"eventId":"8DC8A000-6E74-59BD-8EB9-DDF64E45*","eventVersion":1,"eventSource":"ecs-openapi-...
免登访问
虚商伙伴作为受信实体通过角色扮演获取安全令牌,实现用户免登登录。前提条件 虚商伙伴使用主账号登录阿里云官网:开通 RAM 服务,具体操作请参见 计费方法。创建RAM用户。说明 并不是每次角色扮演都需要创建一个新的 RAM 用户,可以直接...
跨账号拉取阿里云镜像
修改RAM用户的角色扮演权限策略。具体操作,请参见 能否指定RAM用户具体可以扮演哪个RAM角色?单击 关闭。步骤二:为RAM角色授权 为步骤一创建的RAM角色,配置拉取用户B私有镜像的权限和信任策略。本步骤以在现有权限策略里添加镜像相关...
API概览
角色扮演 API 标题 API概述 AssumeRole 获取扮演角色的临时身份凭证 通过调用AssumeRole接口,获取一个扮演RAM角色的临时身份凭证(STS Token)。AssumeRoleWithSAML SAML角色SSO时获取扮演角色的临时身份凭证 进行SAML角色SSO时,通过调用...
Data Warehouse的创建
Impala虚拟数仓依赖该用户进行角色扮演以读取数据,新增用户请参见 在FreeIPA中添加用户。Data Warehouse启动步骤 Step 1:登录DataService集群的Management Console,点击Data Warehouse。Step 2:激活默认环境,Delegation Username必须...
创建者标签概述
角色扮演者为阿里云服务:assumedRoleUser:<RamRoleName>:,其中为RAM角色名称,为扮演该角色的阿里云服务名称。使用创建者标签 在标签控制台启用创建者标签。具体操作,请参见 启用创建者标签。系统自动为新创建的资源绑定创建者标签。...
查看成员详情
管理账号的RAM用户可以通过登入账号URL,以RAM角色扮演的方式访问成员。更多信息,请参见 通过RAM角色登录阿里云控制台。在关联联系人页签,查看成员的消息通知联系人。关于消息通知联系人的更多信息,请参见 为成员设置消息通知联系人。
权限管理
queryPermission 查询权限 authenIdentityPerm 根据权限验权 getPermission 获取权限详情 角色类API 接口名称 接口描述 batchCreateRole 批量创建角色 batchDeleteRole 批量删除角色 bacthAddPermissionToRole 批量给角色关联权限 ...
创建可信实体为阿里云账号的RAM角色
修改RAM用户的角色扮演权限策略。具体操作,请参见 能否指定RAM用户具体可以扮演哪个RAM角色?单击 完成。单击 关闭。后续步骤 为RAM角色授权。成功创建RAM角色后,该RAM角色没有任何权限,您需要为该RAM角色授权。具体操作,请参见 为RAM...
成员登录阿里云控制台
通过RAM用户登录阿里云控制台 使用管理账号的RAM用户通过RAM角色扮演的方式登录成员的阿里云控制台。具体操作,请参见 通过RAM角色登录阿里云控制台。为成员创建RAM用户。本示例中使用的RAM用户名为Tom。具体操作,请参见 创建RAM用户。为...
安全体系概述
RAM账号或角色扮演用户均可以通过控制台或OpenAPI的方式获取连接指定集群API Server的Kubeconfig访问凭证,具体操作,请参见 获取集群KubeConfig并通过kubectl工具连接集群。ACS负责维护访问凭证中签发的身份信息,对于可能泄露的已下发...
【产品变更】关于变更aliyun-acr-credential-helper...
建议一:安装组件时指定组件继续依赖Worker RAM角色,用于满足继续使用Worker RAM角色扮演进行跨账号镜像拉取的需求。建议二:改为使用RRSA模式进行拉取镜像。使用RRSA模式 未修改。此方式不涉及Worker RAM角色的修改。不受影响,可以继续...
使用免密组件拉取容器镜像
配置A用户的RAM角色 在A用户中创建一个角色,添加AliyunSTSAssumeRoleAccess权限策略,授予这个角色具有角色扮演的权限。按照如下修改其信任策略。将示例中的替换为当前集群中OIDC提供商的URL。该URL可在 容器服务管理控制台 集群信息页面...
使用免密组件拉取容器镜像
配置A用户的RAM角色 在A用户中创建一个角色,添加AliyunSTSAssumeRoleAccess权限策略,授予这个角色具有角色扮演的权限。按照如下修改其信任策略。将示例中的替换为当前集群中OIDC提供商的URL。该URL可在 容器服务管理控制台 集群信息页面...
授权应用软件(SaaS)访问和使用您的阿里云资源
该角色信任策略的可信实体会被设置为服务商的阿里云账号,表示可以接受服务商阿里云账号下的RAM用户进行角色扮演。在您授权后,服务商可以通过 STS AssumeRole 扮演您的角色获取临时身份凭证(STS Token),根据角色对应权限访问和使用您的...
使用ExternalId防止混淆代理人问题
阿里云RAM提供了角色扮演(AssumeRole)的能力,用于解决跨账号访问的问题。由于第三方供应商可能需要同时访问多个客户的多个阿里云账号,如果处理不当容易被攻击者利用,骗过供应商伪装成其他客户,即发生混淆代理人问题。混淆代理人问题...
创建可信实体为阿里云账号的RAM角色并授权
修改RAM用户的角色扮演权限策略。具体操作,请参见 能否指定RAM用户具体可以扮演哪个RAM角色?单击 完成。为角色授权 设置角色的权限。在 角色 页签下,找到您创建的角色,单击 操作 列 添加权限。授权范围 选择 整个云账号。授权范围 说明...
权限管理
batchDeleteRole 批量删除角色 bacthAddPermissionToRole 批量给角色关联权限 batchDeletePermissionToRole 批量从角色移除权限 updateRole 更新角色描述 getRole 获取角色详情 queryRole 分页查询角色 授权类API 接口名称 接口描述 ...
服务关联角色
重要 服务关联角色创建成功后,受信云服务可以通过角色扮演的方式跨服务访问对应云资源,可能会因创建快照、云服务器ECS而产生资费,请您知悉。查看服务关联角色 当服务关联角色创建成功后,您可以在 RAM控制台的角色页面,通过搜索 ...
服务关联角色
重要 服务关联角色创建成功后,受信云服务可以通过角色扮演的方式跨服务访问对应云资源,可能会因创建 日志服务 而产生资费,请您知悉。查看服务关联角色 当服务关联角色创建成功后,您可以在 RAM控制台的角色页面,通过搜索 ...
如何调整登录会话时长或临时访问凭证有效期?
RAM角色扮演 控制台切换身份 登录会话时长限制 在控制台上通过切换角色方式扮演RAM角色时,切换到RAM角色身份后,登录会话时长受以下配置的限制:RAM用户安全策略中的 登录会话的过期时间。更多信息,请参见 管理RAM用户安全设置。被扮演...
进阶使用STS
步骤四:授予RAM用户角色扮演权限 虽然经过授权后,该角色已拥有了授权策略定义的访问权限,但角色本身只是虚拟用户,需要RAM用户扮演该角色,才能进行权限允许的操作。若任意RAM用户都可以扮演该角色,也会带来风险,因此只有获得角色扮演...
OSS
格式为 {roleName}:{sessionName},roleName 表示被扮演的角色名称,sessionName 表示进行角色扮演时指定的名称。取值为 oss-role:roleTest123,表示被扮演的RAM角色名称是 oss-role,进行角色扮演时指定的名称为 roleTest123。...
身份管理
通过角色扮演代替固定身份 基于缩小暴露面积的原则,使用临时身份替代固定身份,能极大降低身份泄漏风险,同时对于人员身份来说,也能够抽象人员权限模型,如按人员职能进行角色划分,有利于规范化人员权限设置,提升管理效率。在云上,...
角色管理
如何在阿里云百炼平台使用角色。角色分类 阿里云百炼平台共3个角色。分别为:超级管理员(即为主账号)、管理员和业务空间管理员。目前暂不支持自定义角色,系统预置2个默认角色:管理员和业务空间管理员。管理员和业务空间管理员的区别仅...
- 产品推荐
- 这些文档可能帮助您