commit message

cn.zh-CN/访问控制/访问控制概述.md

@@ -1,39 +1,42 @@
 # 访问控制概述 {#concept_r1k_tg4_hhb .concept}
 
-ARMS 现已支持访问控制 RAM（Resource Access Management）。RAM 是阿里云为客户提供的**用户身份管理**和**资源访问控制**服务。当您的企业有多用户协同操作资源的需求时，RAM 可以让您避免与其他用户共享阿里云主账号密钥，并且按需为用户分配最小权限，从而降低您的企业信息安全风险。
-
-## 资源访问控制 {#section_rzp_jqx_g2b .section}
-
-目前 ARMS 支持的系统授权策略如下所示。
-
-|授权策略|类型|说明|
-|----|--|--|
-|AliyunARMSFullAccess|系统|管理应用实时监控服务（ARMS）的权限|
+借助访问控制 RAM 的 RAM 用户，您可以实现权限分割的目的，按需为子账号赋予不同权限，并避免因暴露阿里云账号（主账号）密钥造成的安全风险。
 
 ## 应用场景 {#section_sq5_jqx_g2b .section}
 
-- 场景 1：支持以 RAM 子账号访问 ARMS
+以下是需用到访问控制 RAM 的典型场景。
+
+- 借助 RAM 用户实现分权
 
- 主账号有权限访问 ARMS 主页，出于安全考虑，您可能不希望让过多的人使用主账号。此时，您可以使用主账号对下属 RAM 子账号授权，将日常运维工作交给子账号来处理。
+ 企业 A 的某个项目（Project-X）上云，购买了多种阿里云产品，例如：ECS 实例、RDS 实例、SLB 实例、OSS 存储空间等。项目里有多个员工需要操作这些云资源，由于每个员工的工作职责不同，需要的权限也不一样。企业 A 希望能够达到以下要求：
 
- 关于创建 RAM 子账号的方法，请参考[创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)。
+ - 出于安全或信任的考虑，A 不希望将云账号密钥直接透露给员工，而希望能给员工创建独立账号。
+ - 用户账号只能在授权的前提下操作资源。A 随时可以撤销用户账号身上的权限，也可以随时删除其创建的用户账号。
+ - 不需要对用户账号进行独立的计量计费，所有开销都由 A 来承担。
+ 针对以上需求，可以借助 RAM 的授权管理功能实现用户分权及资源统一管理。
 
-- 场景 2：支持以 RAM 子账号调用 OpenAPI
+- 借助 RAM 角色实现跨账号访问资源
 
- ARMS 支持您调用 OpenAPI，但是需要传入主子账号的 AK 和 SK。AK 和 SK 的安全至关重要，一旦泄露将会造成重大的安全事故。因此，同样出于安全考虑，您可以用主账号授权 RAM 子账号以其自身的 AK 和 SK 调用 OpenAPI。
+ 云账号 A 和云账号 B 分别代表不同的企业。A 购买了多种云资源来开展业务，例如：ECS 实例、RDS 实例、SLB 实例、OSS 存储空间等。
 
- 关于授权 RAM 子账号调用 OpenAPI 的方法，请参考[创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)。
+ - 企业 A 希望能专注于业务系统，而将云资源运维、监控、管理等任务授权给企业 B。
+ - 企业 B 还可以进一步将 A 的资源访问权限分配给 B 的某一个或多个员工，B 可以精细控制其员工对资源的操作权限。
+ - 如果 A 和 B 的这种运维合同关系终止，A 随时可以撤销对 B 的授权。
+ 针对以上需求，可以借助 RAM 角色实现跨账号授权及资源访问的控制。
 
-- 场景 3：支持以 RAM 用户角色调用 OpenAPI
 
- RAM 用户角色是一种虚拟用户，它没有实际的身份认证密钥，需要被一个受信的实体用户（例如云账号、RAM-User 账号）扮演才能正常使用。扮演成功后，实体用户将获得 RAM 用户角色的临时安全令牌，凭借这个临时安全令牌就能以 RAM 用户角色身份访问被授权的资源。
+## 权限策略 {#section_u2i_doz_g3g .section}
 
- 关于 RAM 用户角色的配置方法，请参考[创建 RAM 用户角色并授权](intl.zh-CN/访问控制/创建 RAM 用户角色并授权.md#)。
+ARMS 支持的系统权限策略如下所示。
 
+|权限策略|类型|说明|
+|----|--|--|
+|AliyunARMSFullAccess|系统|应用实时监控服务 ARMS 的完整权限|
+|AliyunARMSReadOnlyAccess|系统|应用实时监控服务 ARMS 的只读权限|
 
-## 参考 {#section_fx5_jqx_g2b .section}
+## 更多信息 {#section_fx5_jqx_g2b .section}
 
-- [创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)
-- [创建 RAM 用户角色并授权](intl.zh-CN/访问控制/创建 RAM 用户角色并授权.md#)
-- [什么是 RAM？](../../../../../intl.zh-CN/产品简介/什么是 RAM？.md#)
+- [借助 RAM 用户实现分权](intl.zh-CN/访问控制/借助 RAM 用户实现分权.md#)
+- [借助 RAM 角色实现跨云账号访问资源](intl.zh-CN/访问控制/借助 RAM 角色实现跨云账号访问资源.md#)
+- [什么是 RAM](../../../../../intl.zh-CN/产品简介/什么是 RAM.md#)
 

intl.zh-CN/访问控制/访问控制概述.md

@@ -1,39 +1,42 @@
 # 访问控制概述 {#concept_r1k_tg4_hhb .concept}
 
-ARMS 现已支持访问控制 RAM（Resource Access Management）。RAM 是阿里云为客户提供的**用户身份管理**和**资源访问控制**服务。当您的企业有多用户协同操作资源的需求时，RAM 可以让您避免与其他用户共享阿里云主账号密钥，并且按需为用户分配最小权限，从而降低您的企业信息安全风险。
-
-## 资源访问控制 {#section_rzp_jqx_g2b .section}
-
-目前 ARMS 支持的系统授权策略如下所示。
-
-|授权策略|类型|说明|
-|----|--|--|
-|AliyunARMSFullAccess|系统|管理应用实时监控服务（ARMS）的权限|
+借助访问控制 RAM 的 RAM 用户，您可以实现权限分割的目的，按需为子账号赋予不同权限，并避免因暴露阿里云账号（主账号）密钥造成的安全风险。
 
 ## 应用场景 {#section_sq5_jqx_g2b .section}
 
-- 场景 1：支持以 RAM 子账号访问 ARMS
+以下是需用到访问控制 RAM 的典型场景。
+
+- 借助 RAM 用户实现分权
 
- 主账号有权限访问 ARMS 主页，出于安全考虑，您可能不希望让过多的人使用主账号。此时，您可以使用主账号对下属 RAM 子账号授权，将日常运维工作交给子账号来处理。
+ 企业 A 的某个项目（Project-X）上云，购买了多种阿里云产品，例如：ECS 实例、RDS 实例、SLB 实例、OSS 存储空间等。项目里有多个员工需要操作这些云资源，由于每个员工的工作职责不同，需要的权限也不一样。企业 A 希望能够达到以下要求：
 
- 关于创建 RAM 子账号的方法，请参考[创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)。
+ - 出于安全或信任的考虑，A 不希望将云账号密钥直接透露给员工，而希望能给员工创建独立账号。
+ - 用户账号只能在授权的前提下操作资源。A 随时可以撤销用户账号身上的权限，也可以随时删除其创建的用户账号。
+ - 不需要对用户账号进行独立的计量计费，所有开销都由 A 来承担。
+ 针对以上需求，可以借助 RAM 的授权管理功能实现用户分权及资源统一管理。
 
-- 场景 2：支持以 RAM 子账号调用 OpenAPI
+- 借助 RAM 角色实现跨账号访问资源
 
- ARMS 支持您调用 OpenAPI，但是需要传入主子账号的 AK 和 SK。AK 和 SK 的安全至关重要，一旦泄露将会造成重大的安全事故。因此，同样出于安全考虑，您可以用主账号授权 RAM 子账号以其自身的 AK 和 SK 调用 OpenAPI。
+ 云账号 A 和云账号 B 分别代表不同的企业。A 购买了多种云资源来开展业务，例如：ECS 实例、RDS 实例、SLB 实例、OSS 存储空间等。
 
- 关于授权 RAM 子账号调用 OpenAPI 的方法，请参考[创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)。
+ - 企业 A 希望能专注于业务系统，而将云资源运维、监控、管理等任务授权给企业 B。
+ - 企业 B 还可以进一步将 A 的资源访问权限分配给 B 的某一个或多个员工，B 可以精细控制其员工对资源的操作权限。
+ - 如果 A 和 B 的这种运维合同关系终止，A 随时可以撤销对 B 的授权。
+ 针对以上需求，可以借助 RAM 角色实现跨账号授权及资源访问的控制。
 
-- 场景 3：支持以 RAM 用户角色调用 OpenAPI
 
- RAM 用户角色是一种虚拟用户，它没有实际的身份认证密钥，需要被一个受信的实体用户（例如云账号、RAM-User 账号）扮演才能正常使用。扮演成功后，实体用户将获得 RAM 用户角色的临时安全令牌，凭借这个临时安全令牌就能以 RAM 用户角色身份访问被授权的资源。
+## 权限策略 {#section_u2i_doz_g3g .section}
 
- 关于 RAM 用户角色的配置方法，请参考[创建 RAM 用户角色并授权](intl.zh-CN/访问控制/创建 RAM 用户角色并授权.md#)。
+ARMS 支持的系统权限策略如下所示。
 
+|权限策略|类型|说明|
+|----|--|--|
+|AliyunARMSFullAccess|系统|应用实时监控服务 ARMS 的完整权限|
+|AliyunARMSReadOnlyAccess|系统|应用实时监控服务 ARMS 的只读权限|
 
-## 参考 {#section_fx5_jqx_g2b .section}
+## 更多信息 {#section_fx5_jqx_g2b .section}
 
-- [创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)
-- [创建 RAM 用户角色并授权](intl.zh-CN/访问控制/创建 RAM 用户角色并授权.md#)
-- [什么是 RAM？](../../../../../intl.zh-CN/产品简介/什么是 RAM？.md#)
+- [借助 RAM 用户实现分权](intl.zh-CN/访问控制/借助 RAM 用户实现分权.md#)
+- [借助 RAM 角色实现跨云账号访问资源](intl.zh-CN/访问控制/借助 RAM 角色实现跨云账号访问资源.md#)
+- [什么是 RAM](../../../../../intl.zh-CN/产品简介/什么是 RAM.md#)