ali 訪問控制 ram 使用者身份
2018/11/13 chenxin
參考:子賬號登陸url:
概念雲賬戶(主賬戶)
我們有時稱它為 根賬戶 或 主賬戶
雲賬戶別名(alias)
雲賬號 [email protected] 為自己設定乙個別名為 abc.com,那麼其名下的 ram 使用者 alice 成功登入後,顯示名就是 [email protected]
ram 使用者
ram 使用者不擁有資源,沒有獨立的計量計費,這些使用者由所屬雲賬戶統一控制和付費。
ram-role
與普通 ram 使用者的差別主要在使用方法上,ram 角色需要被乙個授信的實體使用者扮演,扮演成功後實體使用者將獲得 ram 角色的臨時安全令牌,使用這個臨時安全令牌就能以角色身份訪問被授權的資源。
ram-role 的扮演與切換:從登入身份切換到角色身份(switchrole):乙個實體使用者(比如 ram-user)登入到控制台後,可以選擇 切換到某個角色,前提是這個實體使用者已經被關聯了角色。
資源(resource)
格式 acs::::
acs: alibaba cloud service
service-name: 如 ecs, oss, odps 等。
region: 地區資訊。如果不支援該項,可以使用萬用字元「*」號來代替。
account-id: 賬號 id,比如 1234567890123456。
resource-relative-id: 與 service 相關的資源描述部分,其語義由具體 service 指定。
acs:oss::1234567890123456:sample_bucket/file1.txt 表示公有雲平台 oss 資源,oss 物件名稱是 sample_bucket/file1.txt,物件的 owner 是 1234567890123456
額外:aws的arn
arn:aws:rds:us-east-1:651544429366:db:xlog
授權策略(policy)
參考<
授權策略是描述許可權集的一種簡單語言規範。跟aws的policy類似.
切換身份(switchrole)
是在控制台中實體使用者從當前登入身份切換到角色身份的方法。
乙個實體使用者登入到控制台之後,可以切換到被許可扮演的某一種角色身份,然後以角色身份操作雲資源。切換到角色身份後,原實體使用者身份的訪問許可權將被遮蔽。
使用者不需要使用角色身份時,可以從角色身份切換回原來的登入身份。
角色令牌是角色身份的一種臨時訪問金鑰。角色身份沒有確定的訪問金鑰,當乙個實體使用者要使用角色時,必須通過扮演角色來獲取對應的角色令牌,然後使用角色令牌來呼叫阿里雲服務 api。
可以跨雲賬戶建立角色(以便其他公司人員幫忙處理問題).
日常操作
api見ram的api參考部分,有詳細的介紹.
sdk部分可能比較過時了.
日常的控制台policy配置部分,可以參考"常見問題"中的示例.
使用者訪問控制
使用者訪問控制 建立使用者及授予系統許可權 create user zbl identified by 123123 grant create table,create view,create sequence to zbl 可授予的系統許可權包括 create session 連線資料庫的許可權 ...
使用者訪問控制
使用者訪問控制 建立使用者及授予系統許可權 create user zbl identified by 123123 grant create table,create view,create sequence to zbl 可授予的系統許可權包括 create session 連線資料庫的許可權 ...
控制使用者訪問 使用者和許可權
控制使用者訪問 在多使用者環境中,要維護資料庫訪問和使用的安全性。通過oracle伺服器資料庫安全性,可以執行以下任務 1.控制資料庫訪問 2.授予對資料庫中特定物件的訪問許可權 3.通過oracle資料字典確認給定的和接收的許可權 4.為資料庫物件建立同義詞 資料庫的安全性可以分為以下兩類 系統安...