阿里云如何設置訪問控制 RAM
如果您購買了多臺云服務器 ECS 實例��,您的組織里有多個用戶需要使用這些實例�����。如果這些用戶共享使用您的云賬號密鑰�����,那么存在以下問題:
您的密鑰由多人共享�,泄密風險高;
您無法限制用戶的訪問權限�,容易出現(xiàn)誤操作導致安全風險。
訪問控制 RAM (Resource Access Management) 是阿里云提供的資源訪問控制服務���。通過 RAM�,您可以集中管理您的用戶(比如員工����、系統(tǒng)或應用程序),以及控制用戶可以訪問您名下哪些資源的權限���。
訪問控制 RAM 將幫助您管理用戶對資源的訪問權限控制�����。例如�,為了加強網(wǎng)絡安全控制,您可以給某個群組附加一個授權策略�����,該策略規(guī)定:如果用戶的原始 IP 地址不是來自企業(yè)網(wǎng)絡��,則拒絕此類用戶請求訪問您名下的 ECS 資源�。
您可以給不同群組設置不同權限,例如:
SysAdmins:該群組需要創(chuàng)建和管理 ECS 鏡像���、實例�、快照���、安全組等權限�。您給 SysAdmins 組附加了一個授權策略���,該策略授予組成員執(zhí)行所有 ECS 操作的權限����。
Developers:該群組只需要使用實例的權限�����。您可以給 Developers 組附加一個授權策略,該策略授予組成員調(diào)用 DescribeInstances�����、StartInstance�、StopInstance、CreateInstance 和 DeleteInstance 的權限�。
如果某開發(fā)人員的工作職責發(fā)生轉變���,成為一名系統(tǒng)管理人員���,您可以方便的將其從 Developpers 群組移到 SysAdmins 群組。
