RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM用户是代表任意的通过控制台或OpenAPI操作阿里云资源的人、系统或应用程序。RAM允许您在云账号下创建并管理多个用户,每个用户都有唯一的用户名、登录密码或访问密钥。
云账户与RAM用户是一种主子关系。
云账户(主账号):
1)阿里云资源归属、资源使用计量计费的基本主体
RAM用户(子账号):
1)只能存在于某个云账户下的RAM实例中
2)不拥有资源,在被授权操作时所创建的资源归属于主账户
3)RAM用户不拥有账单,被授权操作时所发生的费用也计入主账户账单。
用户群组:
如果多个用户的工作职责相同,通过创建群组的方式来进行用户权限管理。
角色:
1)子用户和角色都可以指定一个授权策略,用来说明这个子用户或角色能够访问云资源的权限。
2)子用户,在RAM中可以为一个子用户设置密码和AccessKey, 然后通过用户名或密码来以这个子用户的身份登录阿里云管理控制台; 或者使用这个子用户的AccessKey,以这个子用户的身份访问阿里云OpenAPI。
3)角色,不可以设置密码和AccessKey,但是可以设置可信实体。 您可以在可信实体中定义哪些云服务或哪些云帐号下的子用户可以扮演此角色,既以此角色的身份和权限来访问您的云资源。
授权策略:
1)授权策略是一组权限的集合,它以一种策略语言来描述。通过给用户或群组附加授权策略,用户或群组中的所有用户就能获得授权策略中指定的访问权限。2)支持两种类型的授权策略:系统授权策略和客户自定义授权策略。
3)支持策略版本管理,一个授权策略有多个版本可以使用。
授权访问场景:
1)直接使用云账号访问资源
2)使用RAM用户访问资源
3)使用STS令牌访问资源
STS:
阿里云STS (Security Token Service) 是为阿里云账号(或RAM用户)提供短期访问权限管理的云服务。通过STS,您可以为联盟用户(您的本地账号系统所管理的用户)颁发一个自定义时效和访问权限的访问凭证(token令牌)。联盟用户可以使用STS短期访问凭证直接调用阿里云服务API,或登录阿里云管理控制台操作被授权访问的资源。
签名:
RAM服务会对每个访问的请求进行身份验证,所以无论使用HTTP还是HTTPS协议提交请求,都需要在请求中包含签名(Signature)信息。RAM通过使用Access Key ID和Access Key Secret进行对称加密的方法来验证请求的发送者身份。Access Key ID和Access Key Secret由阿里云官方颁发给访问者(可以通过阿里云官方网站申请和管理),其中Access Key ID用于标识访问者的身份;Access Key Secret是用于加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密,只有阿里云和用户知道。