diff --git "a/cn.zh-CN/\350\256\277\351\227\256\346\216\247\345\210\266/\350\256\277\351\227\256\346\216\247\345\210\266\346\246\202\350\277\260.md" "b/cn.zh-CN/\350\256\277\351\227\256\346\216\247\345\210\266/\350\256\277\351\227\256\346\216\247\345\210\266\346\246\202\350\277\260.md" index 0f091129..b7bb51e3 100644 --- "a/cn.zh-CN/\350\256\277\351\227\256\346\216\247\345\210\266/\350\256\277\351\227\256\346\216\247\345\210\266\346\246\202\350\277\260.md" +++ "b/cn.zh-CN/\350\256\277\351\227\256\346\216\247\345\210\266/\350\256\277\351\227\256\346\216\247\345\210\266\346\246\202\350\277\260.md" @@ -1,39 +1,42 @@ # 访问控制概述 {#concept_r1k_tg4_hhb .concept} -ARMS 现已支持访问控制 RAM(Resource Access Management)。RAM 是阿里云为客户提供的**用户身份管理**和**资源访问控制**服务。当您的企业有多用户协同操作资源的需求时,RAM 可以让您避免与其他用户共享阿里云主账号密钥,并且按需为用户分配最小权限,从而降低您的企业信息安全风险。 - -## 资源访问控制 {#section_rzp_jqx_g2b .section} - -目前 ARMS 支持的系统授权策略如下所示。 - -|授权策略|类型|说明| -|----|--|--| -|AliyunARMSFullAccess|系统|管理应用实时监控服务(ARMS)的权限| +借助访问控制 RAM 的 RAM 用户,您可以实现权限分割的目的,按需为子账号赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。 ## 应用场景 {#section_sq5_jqx_g2b .section} -- 场景 1:支持以 RAM 子账号访问 ARMS +以下是需用到访问控制 RAM 的典型场景。 + +- 借助 RAM 用户实现分权 - 主账号有权限访问 ARMS 主页,出于安全考虑,您可能不希望让过多的人使用主账号。此时,您可以使用主账号对下属 RAM 子账号授权,将日常运维工作交给子账号来处理。 + 企业 A 的某个项目(Project-X)上云,购买了多种阿里云产品,例如:ECS 实例、RDS 实例、SLB 实例、OSS 存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,需要的权限也不一样。企业 A 希望能够达到以下要求: - 关于创建 RAM 子账号的方法,请参考[创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)。 + - 出于安全或信任的考虑,A 不希望将云账号密钥直接透露给员工,而希望能给员工创建独立账号。 + - 用户账号只能在授权的前提下操作资源。A 随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。 + - 不需要对用户账号进行独立的计量计费,所有开销都由 A 来承担。 + 针对以上需求,可以借助 RAM 的授权管理功能实现用户分权及资源统一管理。 -- 场景 2:支持以 RAM 子账号调用 OpenAPI +- 借助 RAM 角色实现跨账号访问资源 - ARMS 支持您调用 OpenAPI,但是需要传入主子账号的 AK 和 SK。AK 和 SK 的安全至关重要,一旦泄露将会造成重大的安全事故。因此,同样出于安全考虑,您可以用主账号授权 RAM 子账号以其自身的 AK 和 SK 调用 OpenAPI。 + 云账号 A 和云账号 B 分别代表不同的企业。A 购买了多种云资源来开展业务,例如:ECS 实例、RDS 实例、SLB 实例、OSS 存储空间等。 - 关于授权 RAM 子账号调用 OpenAPI 的方法,请参考[创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)。 + - 企业 A 希望能专注于业务系统,而将云资源运维、监控、管理等任务授权给企业 B。 + - 企业 B 还可以进一步将 A 的资源访问权限分配给 B 的某一个或多个员工,B 可以精细控制其员工对资源的操作权限。 + - 如果 A 和 B 的这种运维合同关系终止,A 随时可以撤销对 B 的授权。 + 针对以上需求,可以借助 RAM 角色实现跨账号授权及资源访问的控制。 -- 场景 3:支持以 RAM 用户角色调用 OpenAPI - RAM 用户角色是一种虚拟用户,它没有实际的身份认证密钥,需要被一个受信的实体用户(例如云账号、RAM-User 账号)扮演才能正常使用。扮演成功后,实体用户将获得 RAM 用户角色的临时安全令牌,凭借这个临时安全令牌就能以 RAM 用户角色身份访问被授权的资源。 +## 权限策略 {#section_u2i_doz_g3g .section} - 关于 RAM 用户角色的配置方法,请参考[创建 RAM 用户角色并授权](intl.zh-CN/访问控制/创建 RAM 用户角色并授权.md#)。 +ARMS 支持的系统权限策略如下所示。 +|权限策略|类型|说明| +|----|--|--| +|AliyunARMSFullAccess|系统|应用实时监控服务 ARMS 的完整权限| +|AliyunARMSReadOnlyAccess|系统|应用实时监控服务 ARMS 的只读权限| -## 参考 {#section_fx5_jqx_g2b .section} +## 更多信息 {#section_fx5_jqx_g2b .section} -- [创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#) -- [创建 RAM 用户角色并授权](intl.zh-CN/访问控制/创建 RAM 用户角色并授权.md#) -- [什么是 RAM?](../../../../../intl.zh-CN/产品简介/什么是 RAM?.md#) +- [借助 RAM 用户实现分权](intl.zh-CN/访问控制/借助 RAM 用户实现分权.md#) +- [借助 RAM 角色实现跨云账号访问资源](intl.zh-CN/访问控制/借助 RAM 角色实现跨云账号访问资源.md#) +- [什么是 RAM](../../../../../intl.zh-CN/产品简介/什么是 RAM.md#) diff --git "a/intl.zh-CN/\350\256\277\351\227\256\346\216\247\345\210\266/\350\256\277\351\227\256\346\216\247\345\210\266\346\246\202\350\277\260.md" "b/intl.zh-CN/\350\256\277\351\227\256\346\216\247\345\210\266/\350\256\277\351\227\256\346\216\247\345\210\266\346\246\202\350\277\260.md" index 0f091129..b7bb51e3 100644 --- "a/intl.zh-CN/\350\256\277\351\227\256\346\216\247\345\210\266/\350\256\277\351\227\256\346\216\247\345\210\266\346\246\202\350\277\260.md" +++ "b/intl.zh-CN/\350\256\277\351\227\256\346\216\247\345\210\266/\350\256\277\351\227\256\346\216\247\345\210\266\346\246\202\350\277\260.md" @@ -1,39 +1,42 @@ # 访问控制概述 {#concept_r1k_tg4_hhb .concept} -ARMS 现已支持访问控制 RAM(Resource Access Management)。RAM 是阿里云为客户提供的**用户身份管理**和**资源访问控制**服务。当您的企业有多用户协同操作资源的需求时,RAM 可以让您避免与其他用户共享阿里云主账号密钥,并且按需为用户分配最小权限,从而降低您的企业信息安全风险。 - -## 资源访问控制 {#section_rzp_jqx_g2b .section} - -目前 ARMS 支持的系统授权策略如下所示。 - -|授权策略|类型|说明| -|----|--|--| -|AliyunARMSFullAccess|系统|管理应用实时监控服务(ARMS)的权限| +借助访问控制 RAM 的 RAM 用户,您可以实现权限分割的目的,按需为子账号赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。 ## 应用场景 {#section_sq5_jqx_g2b .section} -- 场景 1:支持以 RAM 子账号访问 ARMS +以下是需用到访问控制 RAM 的典型场景。 + +- 借助 RAM 用户实现分权 - 主账号有权限访问 ARMS 主页,出于安全考虑,您可能不希望让过多的人使用主账号。此时,您可以使用主账号对下属 RAM 子账号授权,将日常运维工作交给子账号来处理。 + 企业 A 的某个项目(Project-X)上云,购买了多种阿里云产品,例如:ECS 实例、RDS 实例、SLB 实例、OSS 存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,需要的权限也不一样。企业 A 希望能够达到以下要求: - 关于创建 RAM 子账号的方法,请参考[创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)。 + - 出于安全或信任的考虑,A 不希望将云账号密钥直接透露给员工,而希望能给员工创建独立账号。 + - 用户账号只能在授权的前提下操作资源。A 随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。 + - 不需要对用户账号进行独立的计量计费,所有开销都由 A 来承担。 + 针对以上需求,可以借助 RAM 的授权管理功能实现用户分权及资源统一管理。 -- 场景 2:支持以 RAM 子账号调用 OpenAPI +- 借助 RAM 角色实现跨账号访问资源 - ARMS 支持您调用 OpenAPI,但是需要传入主子账号的 AK 和 SK。AK 和 SK 的安全至关重要,一旦泄露将会造成重大的安全事故。因此,同样出于安全考虑,您可以用主账号授权 RAM 子账号以其自身的 AK 和 SK 调用 OpenAPI。 + 云账号 A 和云账号 B 分别代表不同的企业。A 购买了多种云资源来开展业务,例如:ECS 实例、RDS 实例、SLB 实例、OSS 存储空间等。 - 关于授权 RAM 子账号调用 OpenAPI 的方法,请参考[创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#)。 + - 企业 A 希望能专注于业务系统,而将云资源运维、监控、管理等任务授权给企业 B。 + - 企业 B 还可以进一步将 A 的资源访问权限分配给 B 的某一个或多个员工,B 可以精细控制其员工对资源的操作权限。 + - 如果 A 和 B 的这种运维合同关系终止,A 随时可以撤销对 B 的授权。 + 针对以上需求,可以借助 RAM 角色实现跨账号授权及资源访问的控制。 -- 场景 3:支持以 RAM 用户角色调用 OpenAPI - RAM 用户角色是一种虚拟用户,它没有实际的身份认证密钥,需要被一个受信的实体用户(例如云账号、RAM-User 账号)扮演才能正常使用。扮演成功后,实体用户将获得 RAM 用户角色的临时安全令牌,凭借这个临时安全令牌就能以 RAM 用户角色身份访问被授权的资源。 +## 权限策略 {#section_u2i_doz_g3g .section} - 关于 RAM 用户角色的配置方法,请参考[创建 RAM 用户角色并授权](intl.zh-CN/访问控制/创建 RAM 用户角色并授权.md#)。 +ARMS 支持的系统权限策略如下所示。 +|权限策略|类型|说明| +|----|--|--| +|AliyunARMSFullAccess|系统|应用实时监控服务 ARMS 的完整权限| +|AliyunARMSReadOnlyAccess|系统|应用实时监控服务 ARMS 的只读权限| -## 参考 {#section_fx5_jqx_g2b .section} +## 更多信息 {#section_fx5_jqx_g2b .section} -- [创建 RAM 子账号并授权](intl.zh-CN/访问控制/创建 RAM 子账号并授权.md#) -- [创建 RAM 用户角色并授权](intl.zh-CN/访问控制/创建 RAM 用户角色并授权.md#) -- [什么是 RAM?](../../../../../intl.zh-CN/产品简介/什么是 RAM?.md#) +- [借助 RAM 用户实现分权](intl.zh-CN/访问控制/借助 RAM 用户实现分权.md#) +- [借助 RAM 角色实现跨云账号访问资源](intl.zh-CN/访问控制/借助 RAM 角色实现跨云账号访问资源.md#) +- [什么是 RAM](../../../../../intl.zh-CN/产品简介/什么是 RAM.md#)