OAuth范围 OAuth服务通过OAuth范围来限定应用扮演用户登录阿里云后可以访问的范围。支持的范围如下:openid:用于获取用户的OpenID(默认权限范围,不可移除)。说明 获取到的OpenID是一个可以唯一代表用户的字符串,但并不包含阿里云UID、...
身份通过 认证 后,需要经过 授权 来确定其可以访问的资源和可执行的操作。为不同类型的身份授予不同权限,可以实现对云资源的精细化管控,确保每个身份只能访问其职责范围内的资源并执行特定操作。RAM的核心功能 身份管理:创建并管理多种...
在授权过程中,CLI会请求以下OAuth范围(OAuth服务通过OAuth范围来限定应用扮演用户登录阿里云后可以访问的范围):OAuth范围 OAuth范围描述 openid 获取RAM用户的OpenID。OpenID是一个唯一标识用户的字符串,不包含阿里云UID、用户名等...
删除访问日志:访问日志会占用您的网站空间,如果您需要删除该条访问日志,可以在弹出的提示对话框中,单击 确认。错误日志 在 网站日志 页面,单击 错误日志 页签。找到待操作的错误日志,单击对应 操作 列的 下载 或 删除。在弹出的...
及时清理闲置RAM用户和闲置AccessKey 企业员工离职、合作伙伴解除合作后,若不及时清理其持有的RAM用户和AK凭证,仍然可以访问企业的云上资源,容易发生恶意盗用事件。同时,长期闲置的用户和AK疏于管理,即使被盗也可能无法及时发现。阿里...
说明 由于访问令牌(access_token)可以代表用户身份,因此应用可以访问当前用户的资源。获取访问令牌 步骤一:Web应用通过浏览器将用户重定向到阿里云OAuth 2.0服务从而获取授权码 授权码的请求地址:...
网站访问问题 网站无法访问或无法正常显示 网站无法访问的常见问题及解决方法 访问网站不能正常显示图片或显示不完整的原因 访问网站提示“该页面暂时无法访问”访问网站出现乱码的现象 Linux系统云虚拟主机通过网站后台上传文件异常 访问...
说明 由于令牌可以代表用户身份,因此应用可以访问当前用户的资源。Proof Key机制的原理 Native应用支持 Proof Key机制,用于每次获取授权码以及用授权码换取访问令牌。说明 这一机制可以减轻针对授权码截获的攻击。Native应用生成:code_...
准备工作 某电商网站项目需要使用访问控制RAM进行账号权限管理,可以通过ROS的模板示例 RAM账号权限管理 自动化搭建单个RAM账号场景下用户管理、权限配置的环境,搭建环境前需要进行以下操作:请确保您可以访问云服务器ECS、专有网络VPC、...
访问凭据一旦发生泄露,会给云上资源和用户业务带来很大的安全隐患。本文为您介绍如何在不同的场景中安全使用访问凭据访问阿里云OpenAPI。什么是访问凭据 访问凭据是指用户证明其身份的一组信息。用户通过开发工具(API、CLI、SDK、...
权限审计功能可以帮助您识别RAM身份所拥有的权限,以及权限的最近访问时间。您可以基于此信息识别未使用的权限,并将其安全地删除,从而遵循RAM身份的最小授权原则。使用前必读 在使用权限审计功能变更RAM身份的权限之前,请务必查看如下...
一个实体用户调用STS API AssumeRole-获取扮演角色的临时身份凭证 可以获得角色的安全令牌,使用安全令牌可以访问云服务API。支持STS的云服务 关于支持STS的云服务详情,请参见 支持STS的云服务。相关文档 AssumeRole-获取扮演角色的临时...
此外,有些个人开发者或中小企业允许员工使用其在一些网站(例如:社交网站)上注册的身份来登录阿里云,如果这些网站支持生成OIDC令牌,则可以使用阿里云RAM来完成基于OIDC的单点登录。基本流程 在外部IdP中注册应用,获取应用的客户端ID...
调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用,用来给RAM用户或RAM...
企业B可以将企业A的资源访问权限分配给企业B的员工或应用,并可以精细控制其员工或应用对资源的访问权限。如果双方合同终止,企业A可以随时撤销对企业B的授权。解决方案 假设企业A拥有一个阿里云账号A(A@company-a.onaliyun.com),企业B...
为了确保其业务和数据安全,企业希望用户只能通过指定的IP地址访问阿里云资源,而不是在任意地点都可以访问阿里云资源。您可以根据需要创建自定义权限策略,然后创建RAM用户并为RAM用户授予对应的权限,从而保证RAM用户只能通过指定的IP...
接口说明 应用场景 临时授权访问:通常情况下,建议您通过服务端调用 API,尽可能保证访问密钥不被泄露。但是有些上传文件的场景最好采用客户端直传的形式,避免服务端中转带来的多余开销。此时,可以由服务端下发临时安全令牌(STS Token...
当RAM用户权限发生变化或不再需要通过API访问阿里云资源时,可以禁用该RAM用户的访问密钥(AccessKey)。背景信息 警告 禁用RAM用户的AccessKey后,该RAM用户将不能通过该AccessKey调用阿里云API。如果您的应用程序中有使用该AccessKey的...
临时身份凭证 STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务,通过STS获取可以自定义时效和访问权限的临时身份凭证(STS Token)。SSO方式 阿里云提供以下两种SSO方式:用户SSO 阿里云通过IdP颁发的SAML断言确定...
全部分配:账号下所有身份都可以访问应用,无需手动分配。说明 阿里云账号(主账号)默认拥有应用的访问权限,无需分配。按需分配(默认)安装官方应用。在官方应用详情页的 分配 页签,单击 创建分配。在 创建分配 面板,选择允许访问该...
调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用,用来给RAM用户或RAM...
通过API扮演角色:一个实体用户调用 AssumeRole 可以获得角色的安全令牌,使用安全令牌可以访问云服务API。切换身份 切换身份是在控制台中实体用户从当前登录身份切换到角色身份的方法。一个实体用户登录到控制台之后,可以切换到被许可...
调用ListAccessKeys接口列出指定用户的访问密钥。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
调用DeleteAccessKey接口删除RAM用户的访问密钥。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
通过调用API扮演RAM角色 有权限的RAM用户可以使用其访问密钥(AccessKey)调用 AssumeRole-获取扮演角色的临时身份凭证 接口,以获取某个RAM角色的临时安全令牌(STS Token),从而使用STS Token访问阿里云。说明 如果您通过扮演角色获取的...
当RAM用户不再需要通过API或其他开发工具访问阿里云资源时,可以删除该RAM用户的访问密钥(AccessKey)。RAM提供了回收站功能,删除RAM用户的AccessKey时,会先将AccessKey移入回收站,然后再从回收站中定期自动清理AccessKey或您手动清理...
RAM可以限制用户只能通过指定的访问方式访问企业的云资源,从而增强访问安全性。应用场景 企业A购买了很多阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。为了确保其业务和数据安全,企业希望RAM用户只能通过...
本文为您介绍访问密钥(AccessKey)相关的一些常见问题。包括什么是AccessKey、如何查看AccessKey、AccessKey是否还在使用、AccessKey泄露后如何处理等。什么是AccessKey 访问密钥AccessKey(简称AK)是阿里云提供给用户的长期访问凭证,由...
调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用,用来给RAM用户或RAM...
可以绑定钉钉,但不可以使用RAM钉钉扫码登录。RAM用户同步任务删除后,才能手动删除保留的RAM用户。更多信息,请参见 配置RAM用户同步。使用流程 使用阿里云账号(主账号)或RAM管理员登录 RAM控制台。创建RAM用户。具体操作,请参见 创建...
调用UpdateAccessKey接口更新RAM用户访问密钥的状态。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM...
权限指在某种条件下允许或拒绝对某些资源执行某些操作,权限策略是一组访问权限的集合。权限(Permission)阿里云使用权限来描述RAM身份(RAM用户、RAM用户组、RAM角色)对具体资源的访问能力,具体如下:阿里云账号(资源属主)控制所有...
查询回收站中的指定RAM用户的访问密钥列表。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略...
过度授权访问分析器可以提供权限治理的能力。分析器识别过度授权身份后,会生成对应的治理建议,帮助您快速收敛闲置权限,降低安全风险。说明 本功能为Beta版本,目前还未支持全量产品(具体支持的服务可参见:支持权限审计的云服务)。请...
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(Sts)为RAM权限策略定义...
可信云服务可以通过RAM角色扮演的方式访问其他云服务的资源。可信实体为阿里云服务的RAM角色分为两种:普通服务角色和服务关联角色。本文主要介绍服务关联角色。什么是服务关联角色 在某些场景下,一个云服务为了完成自身的某个功能,需要...
从回收站中恢复归属于指定RAM用户的指定访问密钥。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
删除回收站中归属于指定RAM用户的指定访问密钥。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
在左侧导航栏,选择 设置,可以分区域配置 全局安全、多因素认证 和 网络访问限制 策略。说明 所有设置对账号下的全部RAM用户生效,部分高风险设置,如 允许用户管理AccessKey 等,建议谨慎评估风险。全局安全设置 全局安全策略用于统一...
调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用,用来给RAM用户或RAM...