产品简介
访问控制 RAM 是阿里云提供的管理用户身份与资源访问权限的服务,帮助您安全地控制对阿里云资源的访问。您可以使用 RAM 集中管理用户(例如员工、系统或应用程序)、安全凭证和权限策略,实现对“谁能在何种条件下访问何种资源”进行精细化授权。它通过支持多因素验证(MFA)、与企业身份系统联合及提供临时安全凭证等特性,广泛应用于权限分离、应用授权和单点登录等场景,是您在阿里云上落地最小权限原则、保障资产安全与合规的基石。
应用场景
使用用户组为职能团队统一授权
使用用户组为职能团队统一授权
当企业需要为不同职能团队分配权限时,通过将策略绑定到用户组而非单个用户,可实现权限的批量管理。例如,网络管理员团队需要操作VPC、云防火墙等产品,只需将对应权限策略授予"网络管理员组",新成员加入时只需加入该组即可自动获得完整权限。这种模式不仅提升管理效率,更通过"权限与身份分离"的设计,显著降低权限扩散风险。
大型企业使用云SSO进行多账号身份权限集中管理
大型企业使用云SSO进行多账号身份权限集中管理
大型企业常面临业务隔离与统一管控的双重需求,资源目录配合云SSO可完美解决这一矛盾。例如某金融机构在资源目录下创建了支付、风控、营销等业务账号,通过管理账号配置SSO集成,员工只需在企业AD系统中完成身份认证,即可通过云SSO门户一站式访问所有业务账号资源。更进一步,系统可自动将SSO用户映射到成员账号的RAM用户,实现数据类产品访问权限的精细化控制。
跨账号的云资源访问授权
跨账号的云资源访问授权
在跨企业协作的场景中,当需要将资源访问权授予第三方服务商时,RAM角色机制提供了安全的解决方案。例如某电商将物流系统托管给第三方,可通过创建RAM角色限定其仅能访问指定的OSS存储桶和RDS实例。第三方应用通过角色扮演(AssumeRole)获取临时凭证,全程无需接触长期凭证,且所有操作都被记录在RAM审计日志中,形成完整的权限追溯链。
部署在ECS的应用使用临时凭证访问云资源
部署在ECS的应用使用临时凭证访问云资源
在应用部署场景中,传统长期AccessKey存在泄露风险,而RAM的实例角色机制提供了更安全的替代方案。当ECS实例绑定角色后,应用可通过元数据服务动态获取包含时效性STS Token的临时凭证。这种设计实现了三重价值:一是凭证生命周期可控,二是应用无需保存密钥,三是开发者无需自行实现STS获取逻辑,平台直接提供开箱即用的安全访问通道。
安全合规
阿里云致力于为您提供稳定、可靠、安全、合规的云计算服务,帮助您保护您系统及数据的机密性、完整性、可用性。
访问控制
细粒度权限管控:支持RAM用户和RAM角色的访问,支持操作级和资源级授权,支持通过特定的条件关键字来限制授权生效条件等,降低越权风险。
多因素认证:支持虚拟 MFA和通行密钥(PassKey) 等多种身份验证方式,降低账户凭据泄露风险,提升账号安全。
数据安全
加密存储:访问控制 RAM 对于产品内生成的密钥和凭证等资源的保存及传输过程都进行了加密。
传输加密:通过TLS/SSL协议保障数据在网络传输过程中的安全性。
安全管理
操作日志审计:记录用户操作行为日志用于安全审计和合规检查。
操作审计跟踪:通过操作审计服务跟踪和分析用户对云资源的操作行为。