【筆記】阿里雲RAM
【筆記】阿里雲RAM 2015-09-23
18:01:30
分類: 雲端計算
RAM (Resource Access Management) 是阿里雲提供的資源訪問控制服務。RAM使用者是代表任意的通過控制檯或OpenAPI操作阿里雲資源的人、系統或應用程式。RAM允許您在雲賬號下建立並管理多個使用者,每個使用者都有唯一的使用者名稱、登入密碼或訪問金鑰。
雲賬戶與RAM使用者是一種主子關係。
雲賬戶(主賬號):
1)阿里雲資源歸屬、資源使用計量計費的基本主體
RAM使用者(子賬號):
1)只能存在於某個雲賬戶下的RAM例項中
2)不擁有資源,在被授權操作時所建立的資源歸屬於主賬戶
3)RAM使用者不擁有賬單,被授權操作時所發生的費用也計入主賬戶賬單。
使用者群組:
如果多個使用者的工作職責相同,通過建立群組的方式來進行使用者許可權管理。
角色:
1)子使用者和角色都可以指定一個授權策略,用來說明這個子使用者或角色能夠訪問雲資源的許可權。
2)子使用者,在RAM中可以為一個子使用者設定密碼和AccessKey, 然後通過使用者名稱或密碼來以這個子使用者的身份登入阿里雲管理控制檯; 或者使用這個子使用者的AccessKey,以這個子使用者的身份訪問阿里雲OpenAPI。
3)角色,不可以設定密碼和AccessKey,但是可以設定可信實體。 您可以在可信實體中定義哪些雲服務或哪些雲帳號下的子使用者可以扮演此角色,既以此角色的身份和許可權來訪問您的雲資源。
授權策略:
1)授權策略是一組許可權的集合,它以一種策略語言來描述。通過給使用者或群組附加授權策略,使用者或群組中的所有使用者就能獲得授權策略中指定的訪問許可權。2)支援兩種型別的授權策略:系統授權策略和客戶自定義授權策略。
3)支援策略版本管理,一個授權策略有多個版本可以使用。
授權訪問場景:
1)直接使用雲賬號訪問資源
2)使用RAM使用者訪問資源
3)使用STS令牌訪問資源
STS:
阿里雲STS (Security Token Service) 是為阿里雲賬號(或RAM使用者)提供短期訪問許可權管理的雲服務。通過STS,您可以為聯盟使用者(您的本地賬號系統所管理的使用者)頒發一個自定義時效和訪問許可權的訪問憑證(token令牌)。聯盟使用者可以使用STS短期訪問憑證直接呼叫阿里雲服務API,或登入阿里雲管理控制檯操作被授權訪問的資源。
簽名:
RAM服務會對每個訪問的請求進行身份驗證,所以無論使用HTTP還是HTTPS協議提交請求,都需要在請求中包含簽名(Signature)資訊。RAM通過使用Access Key ID和Access Key Secret進行對稱加密的方法來驗證請求的傳送者身份。Access Key ID和Access Key Secret由阿里雲官方頒發給訪問者(可以通過阿里雲官方網站申請和管理),其中Access Key ID用於標識訪問者的身份;Access Key Secret是用於加密簽名字串和伺服器端驗證簽名字串的金鑰,必須嚴格保密,只有阿里雲和使用者知道。
雲賬戶與RAM使用者是一種主子關係。
雲賬戶(主賬號):
1)阿里雲資源歸屬、資源使用計量計費的基本主體
RAM使用者(子賬號):
1)只能存在於某個雲賬戶下的RAM例項中
2)不擁有資源,在被授權操作時所建立的資源歸屬於主賬戶
3)RAM使用者不擁有賬單,被授權操作時所發生的費用也計入主賬戶賬單。
使用者群組:
如果多個使用者的工作職責相同,通過建立群組的方式來進行使用者許可權管理。
角色:
1)子使用者和角色都可以指定一個授權策略,用來說明這個子使用者或角色能夠訪問雲資源的許可權。
2)子使用者,在RAM中可以為一個子使用者設定密碼和AccessKey, 然後通過使用者名稱或密碼來以這個子使用者的身份登入阿里雲管理控制檯; 或者使用這個子使用者的AccessKey,以這個子使用者的身份訪問阿里雲OpenAPI。
3)角色,不可以設定密碼和AccessKey,但是可以設定可信實體。 您可以在可信實體中定義哪些雲服務或哪些雲帳號下的子使用者可以扮演此角色,既以此角色的身份和許可權來訪問您的雲資源。
授權策略:
1)授權策略是一組許可權的集合,它以一種策略語言來描述。通過給使用者或群組附加授權策略,使用者或群組中的所有使用者就能獲得授權策略中指定的訪問許可權。2)支援兩種型別的授權策略:系統授權策略和客戶自定義授權策略。
3)支援策略版本管理,一個授權策略有多個版本可以使用。
授權訪問場景:
1)直接使用雲賬號訪問資源
2)使用RAM使用者訪問資源
3)使用STS令牌訪問資源
STS:
阿里雲STS (Security Token Service) 是為阿里雲賬號(或RAM使用者)提供短期訪問許可權管理的雲服務。通過STS,您可以為聯盟使用者(您的本地賬號系統所管理的使用者)頒發一個自定義時效和訪問許可權的訪問憑證(token令牌)。聯盟使用者可以使用STS短期訪問憑證直接呼叫阿里雲服務API,或登入阿里雲管理控制檯操作被授權訪問的資源。
簽名:
RAM服務會對每個訪問的請求進行身份驗證,所以無論使用HTTP還是HTTPS協議提交請求,都需要在請求中包含簽名(Signature)資訊。RAM通過使用Access Key ID和Access Key Secret進行對稱加密的方法來驗證請求的傳送者身份。Access Key ID和Access Key Secret由阿里雲官方頒發給訪問者(可以通過阿里雲官方網站申請和管理),其中Access Key ID用於標識訪問者的身份;Access Key Secret是用於加密簽名字串和伺服器端驗證簽名字串的金鑰,必須嚴格保密,只有阿里雲和使用者知道。
相關文章
- 阿里雲使用筆記阿里筆記
- RAM是記憶體還是外存記憶體
- 阿里雲OSS專案搭建筆記阿里筆記
- 手機記憶體RAM、ROM簡介記憶體
- 阿里雲 ANT DESIGN PRO 搭建筆記阿里筆記
- Typora+PicGo+阿里雲寫部落格筆記PicGo阿里筆記
- docker筆記5-阿里雲加速配置Docker筆記阿里
- 【筆記】阿里雲大學Java物件導向開發課程筆記01-77課時筆記阿里Java物件
- 阿里雲 ANT DESIGN PRO 開發筆記 - 元件篇阿里筆記元件
- 如何在Mac上釋放記憶體?Mac清除RAM教程Mac記憶體
- 筆記, 配置阿里雲 Cumulo(ClojureScript) 臨時開發環境筆記阿里開發環境
- RAM演算法原理演算法
- win10系統下如何減少RAM記憶體使用Win10記憶體
- 阿里雲 ANT DESIGN PRO 開發筆記 - 疑難雜症阿里筆記
- Gitlab自動部署之一:阿里雲安裝Gitlab筆記Gitlab阿里筆記
- kubernetes學習筆記 (三):阿里雲遊戲業務實戰筆記阿里遊戲
- [筆記] Laravel 專案部署阿里雲 ECS 伺服器 LAMP 環境筆記Laravel阿里伺服器LAMP
- FPGA入門筆記011_B——搭建串列埠收發與存取雙口RAM簡易應用系統FPGA筆記串列埠
- 《搭建個人Leanote雲筆記本》阿里雲體驗實驗室 教程筆記阿里
- Django學習筆記四:阿里雲伺服器購買和配置nginxDjango筆記阿里伺服器Nginx
- ECS例項RAM角色實踐
- 印象筆記 --- 方法分享筆記筆記
- 阿里雲大資料認證——MOOC網站日誌分析-課堂筆記阿里大資料網站筆記
- 為域名管理進行RAM授權
- Linux Memory Management or 'Why is there no free RAM?' (zt)Linux
- Django學習筆記《一》圖書管理系統專案掛載到阿里雲Django筆記阿里
- 筆記筆記
- CUUG筆記 ORACLE索引學習筆記筆記Oracle索引
- 主動筆記與被動筆記筆記
- 阿里雲大資料認證——基於阿里雲數加構建企業級資料分析平臺-課堂筆記阿里大資料筆記
- 32位Windows 7 只有 2 gb RAM可用Windows
- Swap, RAM, and OS Version ---主流作業系統作業系統
- 顯示 Oracle UNIX 程式的 CPU 和 RAMOracle
- 淘寶記錄筆記筆記
- 心情筆記筆記
- 命令筆記筆記
- 筆記:Docker筆記Docker
- Meteor筆記筆記