创建AccessKey
AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会...
企业上云安全实践
将控制台用户与API用户分离 不建议为一个RAM用户同时创建用于控制台操作的登录密码和用于API调用的访问密钥。具体如下:应用程序账号:只需要通过API访问资源,创建访问密钥即可。员工账号:只需要通过控制台操作资源,设置登录密码即可。...
RAM角色概览
本文为您介绍RAM角色的定义、分类、应用场景、基本概念、使用流程和使用限制。...通过控制台扮演RAM角色 通过调用API扮演RAM角色 可信实体通过角色身份访问被授权的云资源。使用限制 关于RAM角色的使用限制,请参见 使用限制。
设置RAM用户密码强度
操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 身份管理>设置。在 安全设置 页签,单击 修改密码规则,配置相关参数。密码长度:密码长度范围为8~32位。说明 为了提高账号安全性,建议至少设置8位以上的密码长度。密码中必须...
设置RAM用户密码强度
操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 身份管理>设置。在 安全设置 页签,单击 修改密码规则,配置相关参数。密码长度:密码长度范围为8~32位。说明 为了提高账号安全性,建议至少设置8位以上的密码长度。密码中必须...
创建可信实体为身份提供商的RAM角色
使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建角色 页面,选择可信实体类型为 身份提供商,然后单击 下一步。输入 角色名称 和 备注。选择身份提供商类型为 SAML。选择身份提供商...
AccessKey泄露处理方案
当阿里云根据外部线索,掌握到您的AccessKey已经被公开,阿里云将通过您预留的联系方式及时通知您,同时为保障您的业务及数据安全,阿里云将禁止该AccessKey调用访问控制(RAM)产品API的部分功能,包括 IMS服务 和 RAM服务,不包括 STS...
用户SSO概览
企业IdP和阿里云均配置完成后,企业需要使用SDK、CLI或登录到RAM控制台创建与企业IdP匹配的RAM用户。更多信息,请参见 创建RAM用户。配置示例 以下为您提供了常见的企业IdP与阿里云进行用户SSO的配置示例:使用AD FS进行用户SSO的示例 使用...
使用标签限制RAM用户管理指定的ECS实例
在 RAM控制台,创建RAM用户(Alice)。具体操作,请参见 创建RAM用户。为ECS实例绑定标签。本示例中,需要为ECS实例绑定标签 owner:alice 和 environment:production。以下两种绑定标签的方法您可以任选其一:在 标签控制台 绑定标签:创建...
SAML角色SSO概览
基本流程 企业员工可以通过控制台或程序访问阿里云。通过控制台访问阿里云 当管理员在完成角色SSO的相关配置后,企业员工Alice可以通过如下图所示的方法登录到阿里云。操作步骤:Alice使用浏览器在IdP的登录页面中选择阿里云作为目标服务。...
什么是访问控制
访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。功能特性 统一管理访问身份及权限 集中式访问控制 集中管理RAM用户:管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA...
RAM角色和STS Token常见问题
登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。单击目标RAM角色名称。在 基本信息 区域,查看RAM角色ARN。STS服务调用次数是否有上限?AssumeRole 接口调用次数上限:100次/秒。一个阿里云账号及该账号下的RAM用户、RAM角色共用该...
创建自定义权限策略
通过可视化编辑模式创建自定义权限策略 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 权限管理>权限策略。在 权限策略 页面,单击 创建权限策略。在 创建权限策略 页面,单击 可视化编辑 页签。配置权限策略,然后单击 继续编辑基本...
删除RAM用户的AccessKey
使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>用户。在 用户 页面,单击目标RAM用户名称。在 认证管理 页签下的 AccessKey 区域,单击目标AccessKey 操作 列的 删除。在 删除 对话框,输入目标AccessKey ID,然后单击 移入...
通过RAM管控多运维人员的权限
当您的企业涉及多种运维需求时,通过RAM对不同的运维人员授予不同的权限,方便管理和控制。背景信息 某企业购买了大量的阿里云服务,并将应用系统部署在云上,因此涉及多种运维需求:不同的运维人员需要管理不同的阿里云服务。不同的运维...
RAM用户不能同时启用两个AccessKey
操作步骤如下:在RAM控制台,创建一个新的RAM用户。具体操作,请参见 创建RAM用户。为新的RAM用户授权。为新的RAM用户添加与原来RAM用户相同的权限,或者针对应用情况授予最小化权限,即只添加该应用所需要的权限。具体操作,请参见 为RAM...
获取用户凭证报告
通过RAM您可以生成和下载阿里云账号和RAM用户的登录凭证信息,包括控制台登录密码、访问密钥(AccessKey)和多因素认证(MFA)。您可以使用用户凭证报告进行合规性审计。使用限制 如果RAM用户数量超过3500个,将无法生成用户凭证报告。操作...
功能发布记录
本文介绍了访问控制(RAM)产品新功能的发布时间、发布地域和相关文档。2024年03月 功能名称 功能描述 发布时间 发布地域 相关文档 支持RAM的云服务 数据资源平台已支持RAM。2024-03 不涉及 支持RAM的云服务 大数据专家服务已支持RAM。支持...
服务关联角色
创建服务关联角色 某些云服务将在您执行某些特定操作(例如:创建一个云资源或开启一个功能)时自动创建服务关联角色,您可以在RAM控制台的角色管理页面、API或CLI调用 ListRoles 的返回结果中查看自动创建的服务关联角色。此外,您也可以...
RAM用户常见问题
说明 通过登录 RAM控制台,在 概览 页可以快速查询登录RAM用户登录地址。当您使用此地址登录时,系统会为您自动填写默认域名,您只需补齐RAM用户名称即可。RAM用户登录方式有以下几种:方式一:使用默认域名登录。RAM用户的登录格式为...
修改RAM角色的信任策略
操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击目标RAM角色名称。在 信任策略 页签,单击 编辑信任策略。修改信任策略内容,然后单击 保存信任策略。示例一:修改RAM角色的可信实体为阿里云...
使用Azure AD进行角色SSO的示例
步骤四:在阿里云创建RAM角色 在RAM控制台的左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建角色 面板,选择可信实体类型为 身份提供商,然后单击 下一步。输入 角色名称 AADrole 和 备注。选择身份提供商类型为 ...
STS Python SDK调用示例
登录 RAM访问控制,创建一个RAM用户。具体操作,请参见 创建RAM用户。凭证 进入到对应的 RAM用户 详情页,在 认证管理 页签下的 用户AccessKey 区域,单击 创建AccessKey,创建一个新的AccessKey。具体操作,请参见 创建AccessKey。重要 ...
通过OSS控制台访问指定的目录
以下策略表示:被授予此策略的RAM用户可以使用可视化的OSS控制台(类似Windows文件管理器)访问 myphotos/hangzhou/2015/目录。说明 RAM用户可以从根目录开始,一层一层的进入要访问的目录,此场景是最易用的场景。{"Version":"1",...
如何排查无权限的访问错误?
解决方法 控制台访问 如下图所示,控制台上大多数的无权限报错弹窗,除了错误原因,还会提供额外的错误详情信息。您可以按照如下步骤了解无权限的具体原因和处理方法。确定操作者身份。鉴权主体 提供了操作者身份的详细信息。具体如下:...
通过RAM对OSS进行权限管理
myphotos/hangzhou/2015/*"]},{"Effect":"Allow","Action":["oss:ListObjects"],"Resource":["acs:oss:*:*:myphotos"],"Condition":{"StringLike":{"oss:Prefix":"hangzhou/2015/*"} } }]} 场景3:授予RAM用户使用OSS控制台访问目录。...
权限策略基本元素
(您可以在RAM控制台的角色详情页面查看RAM角色的ARN)。acs:PrincipalRDId String 请求主体所属云账号所在的资源目录ID。仅限在RAM角色信任策略和OSS Bucket Policy中使用。acs:PrincipalRDPath String 请求主体所属云账号所在的资源目录...
扮演RAM角色
切换成功后,RAM用户将以RAM角色身份登录控制台,此时RAM用户只能执行该RAM角色身份被授权的所有操作。在控制台右上角头像位置将会显示用户的登录身份(即登录时使用的身份,可能是RAM用户,也可能是RAM角色)和当前身份(即切换角色后的...
支持STS的云服务
控制台:当前云服务是否支持在控制台进行访问控制,“√”表示支持,“×”表示不支持,“○”表示该服务未接入控制台。API:当前云服务是否支持通过API进行访问控制,“√”表示支持,“×”表示不支持,“○”表示该服务未提供API。关于...
支持RAM的云服务
本文为您介绍支持访问控制(RAM)的阿里云服务,并提供每个云服务支持的授权粒度、系统策略以及相关文档,方便您查询和使用。概览 本文的每个表格包含以下信息:云服务:支持RAM的云服务的名称。子服务/子模块:云服务下的子服务或子模块。...
使用标签对RDS实例进行分组授权
当RAM用户在操作RDS控制台时,系统展示出所有标签供RAM用户选择,只有当RAM用户选择了标签值后,系统才能根据选中的标签值过滤相应资源。常见问题 使用标签对RDS实例分组授权后,如果遇到RAM用户登录控制台报无权限的问题,请检查如下事项...
如何限制RAM用户管理指定的ECS实例?
您可以为ECS实例绑定标签,然后创建自定义策略并为RAM用户授权,利用标签控制RAM用户对ECS实例的访问。该方式不能使用系统策略,只能在自定义策略中通过 条件(Condition)指定授权的标签,使用灵活,授权粒度细,但是,您需要掌握自定义...
权限策略概览
新建的RAM用户默认没有任何操作权限,只有在被授权之后,才能通过控制台和RAM操作资源。资源创建者(RAM用户)默认对所创建资源没有任何权限。RAM用户被授予创建资源的权限,用户将可以创建资源。RAM用户默认对所创建资源没有任何权限,...
计费方法
本文为您介绍访问控制(RAM)的计费方法。访问控制(RAM)为免费产品,只要经过实名认证的阿里云账号就可以直接使用,该产品暂不支持关闭。实名认证的详情请参见:个人实名认证、企业实名认证。icmsDocProps={'productMethod':'created','...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(RAM)为RAM权限策略定义...
设置较强的密码强度规则
风险说明 RAM用户启用控制台登录时可以设置登录密码。密码强度规则设置中出现以下任何一种,均不符合安全性要求,容易造成密码泄露,攻击者可能登录到控制台,产生安全风险。密码长度小于8位。密码包含元素小于3种。密码有效期超过90天。...
主账号启用MFA
启用MFA后,当主账号登录控制台时,需要先输入用户名和密码,然后输入MFA验证码(该验证码会在较短的时间内轮转)或U2F安全密钥。两层保护将使主账号更安全。风险等级 中风险。最佳实践 为主账号启用MFA。治理建议 为主账号启用MFA。具体...
AliyunHgwFullAccess
AliyunHgwFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunHgwFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 管理混合云存储控制台的权限。策略详情 类型:系统策略 创建时间:2021-07-06 08:17:...
AliyunRAMReadOnlyAccess
AliyunRAMReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunRAMReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问访问控制(RAM)的权限,即查看用户、组以及授权信息的权限。...
AliyunHgwReadOnlyAccess
AliyunHgwReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunHgwReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读混合云存储控制台的权限。策略详情 类型:系统策略 创建时间:2021-07-06...
- 产品推荐
- 这些文档可能帮助您