AliyunQuickAudienceReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunQuickAudienceReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问QuickAudience控制台。策略详情 类型:系统策略...
AliyunCloudControlAPIReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunCloudControlAPIReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问云控制API(CloudControlAPI)的权限。...
建议限制的高风险权限,例如:禁止该RAM用户在访问控制(RAM)中创建新的RAM用户及授权,禁止ECS、RDS、OSS、SLS资源的释放,禁止发送短信等。以下提供一个禁用高风险权限的自定义权限策略示例,请您充分评估影响,根据业务情况设置。{...
禁用控制台访问后,该RAM用户及该RAM用户当前扮演的RAM角色会被强制退出登录状态。设置密码:修改RAM用户的控制台登录密码。说明 修改RAM用户的登录密码后,该RAM用户及该RAM用户当前扮演的RAM角色会被强制退出登录状态。此时,该RAM用户...
禁用控制台访问后,该RAM用户及该RAM用户当前扮演的RAM角色会被强制退出登录状态。设置密码:修改RAM用户的控制台登录密码。说明 修改RAM用户的登录密码后,该RAM用户及该RAM用户当前扮演的RAM角色会被强制退出登录状态。此时,该RAM用户...
为保障主账号安全,建议您遵循权限最小化原则,为企业内的员工、系统或应用程序创建独立的RAM用户,并仅授予其完成任务所需的权限。RAM用户创建后不产生费用,其使用云资源产生的费用统一由所属主账号支付。本文介绍如何通过RAM控制台和...
本文以电商网站项目为例,为您介绍使用访问控制RAM进行账号权限管理的最佳实践,阐述单个RAM账号场景下用户管理、资源分组、权限配置、访问控制的治理方法及原则。准备工作 某电商网站项目需要使用访问控制RAM进行账号权限管理,可以通过...
RAM用户是RAM的一种实体身份类型。您可以为阿里云账号(主账号)创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。当您的企业存在多用户协同访问资源的场景时,您可以创建多个RAM用户并按需为其分配最小权限,避免多...
RAM可以限制用户只能通过指定的访问方式访问企业的云资源,从而增强访问安全性。应用场景 企业A购买了很多阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。为了确保其业务和数据安全,企业希望RAM用户只能通过...
RAM可以限制用户只能在指定的时间段访问企业的云资源,从而增强访问安全性。应用场景 企业A购买了很多阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。为了确保其业务和数据安全,企业希望用户只能在工作时间访问...
说明 如果在权限策略中使用 acs:MFAPresent 这个特定条件(condition),例如在 通过RAM限制只有启用了MFA的RAM用户才能访问云资源 这个场景中,此处设置为 仅异常登录时使用 会导致该策略条件验证校验为不通过。如果要保证该条件生效,...
本文介绍如何通过RAM限制只有启用了多因素认证(MFA)的RAM用户才能访问云资源,例如:ECS。前提条件 创建自定义策略前,需要先了解权限策略语言的基本结构和语法。更多信息,请参见 权限策略基本元素 和 权限策略语法和结构。操作前,请在...
本文为您介绍在使用RAM用户或RAM角色访问阿里云时遇到的无权限问题的解决方法。问题描述 RAM身份(RAM用户和RAM角色)默认没有任何操作权限,只有被显式授予权限后,才能访问特定的云资源。对RAM身份授权的效果包括两种:允许(Allow)和...
API访问权限限制性保护列表 云产品 API版本 API API描述 访问控制RAM 2015-05-01 全部 无 身份管理IMS 2019-08-15 全部 无 云服务器ECS 2014-05-26 RunInstances 创建一台或多台按量付费或者包年包月ECS实例 CreateInstance 创建一台包年...
仅举例 部分常见高风险 控制台关键操作 产品类别 云产品 控制台操作点描述 安全 访问控制 RAM 创建主账号或RAM用户访问密钥 创建角色 创建一个权限策略 修改访问密钥状态 删除主账号或RAM用户的访问密钥 删除RAM用户 计算 云服务器 ECS ...
说明 如果SAML响应中包含映射到多个RAM角色的属性,系统将会首先提示用户选择一个用于访问阿里云的角色。SSO服务将URL返回给浏览器。浏览器重定向到该URL,以指定RAM角色登录到阿里云控制台。通过程序访问阿里云 企业员工Alice可以通过编写...
单击 立即前往,页面将跳转至 访问控制(RAM)控制台 的OAuth第三方应用详情页面。或者,您也可以直接登录阿里云RAM控制台并导航到 集成管理 OAuth应用,单击 第三方应用 页签。在 第三方应用 列表中,找到并单击显示名称为 offical-cli 的...
弹性计算 云服务 子服务/子模块 RAM代码 控制台 API 云服务器ECS 云服务器ECS ecs 支持 支持 块存储 块存储 ecs 支持 支持 块存储 块存储EBS ebs 支持 支持 云服务器ECS GPU云服务器 ecs 支持 支持 云服务器ECS 弹性裸金属服务器 ecs 支持 ...
用户访问URL 是用户直接从其浏览器访问此应用程序的链接。用户(u2)从管理员用户处获取上述 用户访问URL 在浏览器中输入该URL,使用自己的账号登录。系统将自动SSO登录并重定向到您指定的 中继状态 页面。如果未指定 中继状态 或超出允许...
AliyunDataQReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunDataQReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问DataQ管理控制台。策略详情 类型:系统策略 创建时间:2024-04-...
风险说明 主账号权限极大,无法进行条件限制(例如:访问来源IP地址、访问时间等),多人共用时无法在审计日志中区分出具体使用人,一旦泄露风险极大。风险等级 高风险。最佳实践 不使用主账号的用户名和密码登录阿里云控制台进行日常操作...
RAM用户访问 阿里云控制台。在 RAM用户名密码登录 页签,输入RAM用户名,单击 下一步。单击 通行密钥登录。说明 如果不想使用通行密钥登录,您可以单击 使用密码登录,使用RAM用户的登录密码登录。如果绑定了多个类型的通行密钥,您需要...
本文介绍了访问控制涉及的一些安全设置基本概念,这些安全设置可以更有效地保护账号安全。...关于如何设置默认域名...如果您希望对所有RAM用户启用敏感操作二次身份验证,首先要强制所有RAM用户使用MFA。具体操作,请参见 管理RAM用户安全设置。
RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理 用户,单击RAM用户登录名称。在 用户基本信息 区域,钉钉账号 右侧单击 解绑。在 钉钉解绑 对话框,阅读并确认解绑产生的影响,然后单击 解绑。解绑成功后,钉钉账号 的状态显示 未...
本文介绍访问控制(RAM)的典型应用场景,助您安全、高效地管理云上身份与权限。运维管理场景 1.为企业员工分配权限 场景简述:为企业内的多名员工授予云资源访问权限时,直接共享主账号会带来操作无法追溯、权限过大等安全风险。需要根据...
通过用户SSO,企业员工在登录后,将以RAM用户访问阿里云。基本流程 当管理员在完成用户SSO的相关配置后,企业员工Alice可以通过如下图所示的方法登录到阿里云。Alice使用浏览器登录阿里云,阿里云将SAML认证请求返回给浏览器。浏览器向IdP...
查看RAM角色的权限访问记录 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择 身份管理 角色。在 角色 页面,单击目标RAM角色名称。在RAM角色详情页,单击 权限审计Beta 页签。系统会开始生成RAM角色的权限审计报告,请您耐心等待一会,...
您可以在RAM中创建OAuth企业应用,从而获取用户信息或访问阿里云API。背景信息 如果应用提供商要同时向中国站、国际站的用户提供服务,需要使用中国站、国际站账号分别创建应用。操作步骤 使用RAM管理员登录 RAM控制台。在左侧导航栏,选择...
后续步骤 启用多因素认证并绑定多因素认证设备后,RAM用户再次登录阿里云或在控制台进行敏感操作时,系统将要求输入两层安全要素:第一层安全要素:输入用户名和密码。第二层安全要素:输入虚拟MFA设备生成的验证码、通过通行密钥认证、...
后续步骤 启用多因素认证并绑定多因素认证设备后,RAM用户再次登录阿里云或在控制台进行敏感操作时,系统将要求输入两层安全要素:第一层安全要素:输入用户名和密码。第二层安全要素:输入虚拟MFA设备生成的验证码、通过通行密钥认证、...
AliyunARMSPrometheusAccessAuth 是阿里云管理的产品系统策略,您可以将 AliyunARMSPrometheusAccessAuth 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 访问Prometheus监控服务控制台的权限。策略详情 类型:系统...
AliyunDataWorksReadOnlyAccess 是阿里云管理的产品系统策略,您可以将 AliyunDataWorksReadOnlyAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 只读访问阿里云DataWorks管理控制台。策略详情 类型:系统策略 ...
访问密钥 访问密钥 CreateAccessKey 为RAM用户创建访问密钥 调用CreateAccessKey接口为RAM用户创建访问密钥。UpdateAccessKey 更新RAM用户访问密钥的状态 调用UpdateAccessKey接口更新RAM用户访问密钥的状态。DeleteAccessKey 删除RAM用户...
UpdateLoginProfile 修改RAM用户的控制台登录信息 修改指定RAM用户的控制台登录信息。DeleteLoginProfile 关闭指定RAM用户的控制台登录 删除RAM用户的控制台登录配置。ChangePassword RAM用户修改自己的登录密码 RAM用户为自己修改控制台...
角色扮演有以下两种方式,您可以任选其一:通过控制台扮演RAM角色 RAM用户使用用户名和密码登录控制台后,通过切换身份的方式,扮演RAM角色。通过调用API扮演RAM角色 RAM用户使用访问密钥(AccessKey)调用 AssumeRole,获取RAM角色的临时...
AliyunMyBaseDHGFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunMyBaseDHGFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 通过管理控制台提供对MyBase服务的完全访问。策略详情 类型:系统策略 ...
AliyunAuthorizationFullAccess 是阿里云管理的产品系统策略,您可以将 AliyunAuthorizationFullAccess 授权给 RAM 身份(RAM 用户、RAM 用户组和 RAM 角色),本策略定义了 通过管理控制台提供对授权系统的完全访问权限。策略详情 类型:...
除了控制台,您也希望使用程序访问的方式来进行SSO。用户SSO适用场景 您希望从阿里云的登录页面开始发起登录,而非直接访问您IdP的登录页面。您需要使用的云产品中有部分暂时不支持角色访问。支持角色访问(即通过STS访问)的云产品请参见 ...
本文为您介绍RAM角色的定义、分类、应用场景、基本概念、使用流程和使用限制。...通过控制台扮演RAM角色 通过调用API扮演RAM角色 可信实体通过角色身份访问被授权的云资源。使用限制 关于RAM角色的使用限制,请参见 使用限制。
本文介绍Web应用如何通过OAuth 2.0扮演登录用户访问阿里云API。前提条件 Web应用扮演登录用户访问阿里云首先需要创建应用,为应用提供恰当的名称、OAuth范围、回调地址等关键信息,详情请参见 创建应用。应用创建成功后,您可以在应用列表...