API概览
本产品(访问控制 身份管理/2019-08-15)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用...
AliyunDataWorksAccessingEMRReadOnlyPolicy
您可以将 AliyunDataWorksAccessingEMRReadOnlyPolicy 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 Dataworks访问EMR授权策略,包含EMR只读权限,适用于数据集成创建EMR-Hive数据源时跨账号访问EMR的场景。...
AliyunDataWorksAccessingDLFReadOnlyPolicy
您可以将 AliyunDataWorksAccessingDLFReadOnlyPolicy 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 Dataworks访问DLF授权策略,包含DLF只读权限,适用于数据集成创建EMR-Hive数据源时跨账号访问DLF的场景。...
使用ExternalId防止混淆代理人问题
阿里云RAM提供了角色扮演(AssumeRole)的能力,用于解决跨账号访问的问题。由于第三方供应商可能需要同时访问多个客户的多个阿里云账号,如果处理不当容易被攻击者利用,骗过供应商伪装成其他客户,即发生混淆代理人问题。混淆代理人问题...
如何排查无权限的访问错误?
本文为您介绍在使用RAM用户或RAM角色访问阿里云时遇到的无权限问题的解决方法。问题描述 RAM身份(RAM用户和RAM角色)默认没有任何操作权限,只有被显式授予权限后,才能访问特定的云资源。对RAM身份授权的效果包括两种:允许(Allow)和...
企业上云安全实践
阿里云账号不想与其他RAM用户共享阿里云账号访问密钥(AccessKey),访问密钥泄露风险较大。RAM用户对资源的访问方式多种多样,资源泄露风险高。某些RAM用户离开组织时,需要收回其对资源的访问权限。解决方案 使用RAM,您可以创建、管理...
什么是访问控制
访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务。功能特性 统一管理访问身份及权限 集中式访问控制 集中管理RAM用户:管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA...
AliyunUEMAccountDeviceAccess
AliyunUEMAccountDeviceAccess 是阿里云管理的产品系统策略,您可以将 AliyunUEMAccountDeviceAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 具备终端访问控制系统UEM用户账号以及用户设备的读写管理权限,...
创建可信实体为阿里云账号的RAM角色
可信实体为阿里云账号的RAM角色主要用于解决跨账号访问和临时授权问题。该RAM角色允许可信的阿里云账号下的RAM用户扮演。操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>角色。在 角色 页面,单击 创建角色。在 创建...
管理第三方应用授权
当用户(阿里云账号或RAM用户)首次访问第三方应用时,需要完成第三方应用的授权。前提条件 您需要使用阿里云账号(主账号)或RAM管理员(具有AliyunRAMFullAccess权限的RAM用户)执行本文所述的授权操作。同意授权 当用户首次访问第三方...
跨阿里云账号的资源授权
跨阿里云账号访问资源 对阿里云账号B的RAM用户 Alice 进行授权后,RAM用户通过切换角色便可以访问阿里云账号A下的ECS资源。阿里云账号B的RAM用户登录 RAM控制台。说明 RAM用户登录时需要输入账号别名 company-b、RAM用户名称 Alice 和RAM...
RAM用户概览
RAM用户必须在获得授权后,才能登录控制台或使用API访问阿里云账号下的资源。RAM用户拥有独立的登录密码或AccessKey。一个阿里云账号下可以创建多个RAM用户,对应企业内的员工、系统或应用程序。RAM用户类型 按照RAM用户的创建途径,RAM...
AccessKey泄露处理方案
当阿里云根据外部线索,掌握到您的AccessKey已经被公开,阿里云将通过您预留的联系方式及时通知您,同时为保障您的业务及数据安全,阿里云将禁止该AccessKey调用访问控制(RAM)产品API的部分功能,包括 IMS服务 和 RAM服务,不包括 STS...
集成概览
总览 访问控制的OpenAPI包括:IMS(Identity Management Service)OpenAPI、RAM(Resource Access Management)OpenAPI和STS(Security Token Service)OpenAPI。您需要根据不同的使用场景选择不同的OpenAPI使用,具体如下表所示。场景 ...
使用云SSO实现多账号场景下的身份权限管理
云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。您可以在云SSO中进行一次性统一配置,即可完成面向多个阿里云账号的身份管理、单点登录和权限配置。为了实现这一目标,云SSO提供了独立于RAM的身份...
创建应用
操作步骤 使用阿里云账号登录 RAM控制台。在左侧导航栏,选择 集成管理>OAuth应用(公测)。在 企业应用 页签,单击 创建应用。在 创建应用 面板,设置应用参数。输入 应用名称 和 显示名称。选择 应用类型。WebApp:指基于浏览器交互的...
RAM角色概览
本文为您介绍RAM角色的定义、分类、应用场景、基本概念、使用流程和使用限制。什么是RAM角色 RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有永久身份凭证(登录密码或访问密钥),需要被一个可信实体扮演。...
CreateAccessKey-创建主账号或RAM用户访问密钥
创建阿里云账号(主账号)或RAM用户的访问密钥。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
DeleteAccessKey-删除用户的访问密钥
删除阿里云账号(主账号)或RAM用户的访问密钥。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
AliyunRAMReadOnlyAccess
AliyunRAMReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunRAMReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问访问控制(RAM)的权限,即查看用户、组以及授权信息的权限。...
UpdateAccessKey-修改访问密钥状态
修改阿里云账号(主账号)或RAM用户的访问密钥状态。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM...
权限策略判定流程
当RAM身份(RAM用户或RAM角色)通过阿里云控制台、API或CLI发起资源访问请求时,都需要执行权限策略的判定流程,根据判定结果决定是否允许访问。本文为您介绍阿里云的权限策略判定流程。概述 阿里云支持多种类型的权限策略。一次完整的权限...
ListAccessKeys-查询主账号或RAM用户访问密钥列表
查询阿里云账号(主账号)或RAM用户的访问密钥列表。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM...
AliyunRAMFullAccess
AliyunRAMFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunRAMFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 管理访问控制(RAM)的权限,即管理用户以及授权的权限。策略详情 类型:系统策略 ...
AliyunUEMReadOnlyAccess
AliyunUEMReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunUEMReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问终端访问控制系统(UEM)的权限。策略详情 类型:系统策略 创建时间...
为RAM用户解绑钉钉账号
当RAM用户不想通过钉钉账号登录阿里云时,您可以使用RAM管理员或RAM用户解绑钉钉账号。解绑影响 解绑钉钉账号后,您将不能通过钉钉扫码登录和钉钉应用内一键登录方式完成RAM用户登录。还有可能影响该RAM用户在其他依赖钉钉绑定的阿里云服务...
AliyunUEMFullAccess
AliyunUEMFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunUEMFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 管理终端访问控制系统(UEM)的权限。策略详情 类型:系统策略 创建时间:2020-04-14 ...
不使用主账号登录
风险说明 主账号权限极大,无法进行条件限制(例如:访问来源IP地址、访问时间等),多人共用时无法在审计日志中区分出具体使用人,一旦泄露风险极大。风险等级 高风险。最佳实践 不使用主账号的用户名和密码登录阿里云控制台进行日常操作...
控制台用户和程序用户分离
治理建议 判断当前RAM用户(User1)有无访问控制台的需求。无:禁用控制台访问方式。具体操作,请参见 修改控制台登录设置。有:进行下一步操作。创建一个新的RAM用户(User2),启用控制台访问方式。具体操作,请参见 创建RAM用户 和 启用...
为RAM用户绑定钉钉账号
为RAM用户绑定一个钉钉账号,然后该RAM用户就可以使用钉钉账号登录阿里云。前提条件 只允许RAM用户为自己绑定钉钉账号,阿里云账号(主账号)不能为账号下的RAM用户绑定钉钉账号。操作前,RAM管理员必须允许RAM用户可以 自主管理钉钉。具体...
对云上应用进行动态身份管理与授权
当企业购买阿里云服务后,应用程序通过访问控制(RAM)可以获取RAM角色的临时安全令牌,从而访问阿里云。背景信息 企业A购买了ECS实例,并计划在ECS实例中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API...
什么是STS
通常用于跨账号访问场景和临时授权场景。更多信息,请参见 使用RAM角色、跨阿里云账号的资源授权 和 移动应用使用临时安全令牌访问阿里云。角色SSO时获取STS Token 进行角色SSO时,通过调用 AssumeRoleWithSAML-SAML角色SSO时获取扮演角色...
计费方法
访问控制(RAM)为免费产品,只要经过实名认证的阿里云账号就可以直接使用,该产品暂不支持关闭。实名认证的详情请参见:个人实名认证、企业实名认证。icmsDocProps={'productMethod':'created','language':'zh-CN',};
AliyunBastionhostPamAuditorAccess
AliyunBastionhostPamAuditorAccess 是阿里云管理的产品系统策略,您可以将 AliyunBastionhostPamAuditorAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 特权访问控制(PAM)的审计员权限。策略详情 类型:系统...
RAM用户登录阿里云控制台
阿里云账号专属登录地址 阿里云账号登录 RAM控制台,在 概览 页的 账号信息 区域,获取RAM用户登录地址。RAM用户使用该地址登录阿里云控制台。RAM用户专属登录地址 在登录地址中使用 username 参数指定RAM用户名,登录过程中免输用户名,...
AliyunUEMUninstallClientAccess
AliyunUEMUninstallClientAccess 是阿里云管理的产品系统策略,您可以将 AliyunUEMUninstallClientAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 具备终端访问控制系统(UEM)的客户端卸载管理权限,其他权限...
扮演RAM角色时的权限策略判定流程
RAM角色扮演请求涉及多种类型的权限策略,每种权限策略内部的判定都遵从 最小单元判定流程,完整的判定流程如下:管控策略判定 管控策略(Control Policy)是资源目录中对成员账号访问定义的权限边界。如果请求扮演的RAM角色所属账号是 ...
移动应用使用临时安全令牌访问阿里云
本文介绍移动应用如何使用RAM角色的临时安全令牌(STS Token)访问阿里云资源。背景信息 企业A开发了一款移动应用(App),并购买了对象存储(OSS)服务。App需要直连OSS上传或下载数据,但是App运行在用户自己的移动设备上,这些设备不受...
创建RAM用户
您可以为阿里云账号(主账号)创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。操作步骤 使用阿里云账号(主账号)或RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理>用户。在 用户 页面,单击 创建用户。在 ...
API概览
在使用API前,您需要准备好身份账号及访问密钥(AccessKey),才能有效通过客户端工具(SDK、CLI等)访问API。细节请参见 获取AccessKey。角色扮演 API 标题 API概述 AssumeRole 获取扮演角色的临时身份凭证 通过调用AssumeRole接口,获取...
- 产品推荐
- 这些文档可能帮助您