本文详细介绍了阿里云RAM(Resource Access Management)的体系结构、权限策略及典型应用场景,旨在帮助企业实现云资源的精细化管理和运维分工,提升云上安全性和效率。
阿里云RAM运维最佳实践
作者:华正 瑞理
1 阿里云RAM介绍
访问控制(Resource Access Management,简称RAM)是一个稳定可靠的集中式访问控制服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。
产品首页:https://www.aliyun.com/product/ram
帮助文档:https://help.aliyun.com/product/28625.html
1.1 阿里云RAM体系
RAM可以分为四大类授权体系。
支持RAM的云服务参考:https://help.aliyun.com/document_detail/28630.html
1.1.1 通用
包括两大权限。
| 序号 | 权限策略名称 | 说明 |
| 1 | AdministratorAccess | 管理所有阿里云资源的权限 |
| 2 | ReadOnlyAccess | 只读访问所有阿里云资源的权限 |
1.1.2 账户、控制台
包括23个权限,这些权限一般与具体云产品使用无关,而与云运维工作相关。
| 序号 | 权限策略名称 | 说明 |
| 1 | AliyunActionTrailFullAccess | 管理操作审计(ActionTrail)的权限 |
| 2 | AliyunActionTrailReadOnlyAccess | 只读访问操作审计(ActionTrail)的权限 |
| 3 | AliyunAdvisorFullAccess | 管理智能顾问(Advisor)的权限 |
| 4 | AliyunAdvisorReadOnlyAccess | 只读访问智能顾问(Advisor)的权限 |
| 5 | AliyunAgencyFullAccess | 管理分销平台的权限 |
| 6 | AliyunARMSFullAccess | 管理业务实时监控服务(ARMS)的权限 |
| 7 | AliyunBSSFullAccess | 管理费用中心(BSS)的权限 |
| 8 | AliyunBSSOrderAccess | 在费用中心(BSS)查看订单、支付订单及取消订单的权限 |
| 9 | AliyunBSSReadOnlyAccess | 只读访问费用中心(BSS)的权限 |
| 10 | AliyunCloudCommunicationFullAccess | 管理云通信财务(CloudCommunication)的权限 |
| 11 | AliyunCloudCommunicationReadOnlyAccess | 只读访问云通信财务(CloudCommunication)的权限 |
| 12 | AliyunCloudMonitorFullAccess | 管理云监控(CloudMonitor)的权限 |
| 13 | AliyunCloudMonitorReadOnlyAccess | 只读访问云监控(CloudMonitor)的权限 |
| 14 | AliyunFinanceConsoleFullAccess | 管理企业财务管理(EFC)的权限 |
| 15 | AliyunFinanceConsoleReadOnlyAccess | 只读访问企业财务管理(EFC)的权限 |
| 16 | AliyunKMSCryptoAccess | 使用密钥管理服务(KMS)的密钥进行加密、解密与产生数据密钥的权限。 |
| 17 | AliyunKMSFullAccess | 管理密钥管理服务(KMS)的权限 |
| 18 | AliyunKMSReadOnlyAccess | 只读访问密钥管理服务(KMS)的权限 |
| 19 | AliyunRAMFullAccess | 管理访问控制(RAM)的权限,即管理用户以及授权的权限。注:被授予AliyunRAMFullAccess权限的子账号可以把所有其它权限都授予自己。 |
| 20 | AliyunRAMReadOnlyAccess | 只读访问访问控制(RAM)的权限,即查看用户、组以及授权信息的权限 |
| 21 | AliyunSTSAssumeRoleAccess | 调用STS服务AssumeRole接口的权限 |
| 22 | AliyunSupportFullAccess | 管理工单系统的权限 |
| 23 | AliyunTracingAnalysisFullAccess | 管理链路追踪(TracingAnalysis)的权限 |
1.1.3 云产品
包括182个权限。大部分产品都有FullAccess(管理)和ReadOnlyAccess(只读)两种权限,少数产品只有一个权限(如EMR),部分产品有特殊的其它权限(如OTS)。
| 序号 | 权限策略名称 | 说明 |
| 1 | AliyunACMFullAccess | 管理应用配置管理(ACM)的权限 |
| 2 | AliyunAHASFullAccess | 管理应用高可用服务(AHAS)的权限 |
| 3 | AliyunApiGatewayFullAccess | 管理网关服务(ApiGateway)的权限 |
| 4 | AliyunApiGatewayReadOnlyAccess | 只读访问网关服务(ApiGateway)的权限 |
| 5 | AliyunBatchComputeFullAccess | 管理批量计算服务(BatchCompute)的权限 |
| 6 | AliyunCCCFullAccess | 管理云呼叫中心(CCC)的权限 |
| 7 | AliyunCDNFullAccess | 管理CDN的权限 |
| 8 | AliyunCDNReadOnlyAccess | 只读访问CDN的权限 |
| 9 | AliyunCENFullAccess | 管理云企业网(CEN)的权限 |
| 10 | AliyunCENReadOnlyAccess | 只读访问云企业网(CEN)的权限 |
| 11 | AliyunChatbotFullAccess | 管理云小蜜的权限 |
| 12 | AliyunCloudPhotoFullAccess | 管理智能云相册(CloudPhoto)的权限 |
| 13 | AliyunCloudPhotoReadOnlyAccess | 只读访问智能云相册(CloudPhoto)的权限 |
| 14 | AliyunCodePipelineFullAccess | 管理CodePipeline的权限 |
| 15 | AliyunCommonBandwidthPackageFullAccess | 管理共享带宽的权限 |
| 16 | AliyunCommonBandwidthPackageReadOnlyAccess | 只读访问共享带宽的权限 |
| 17 | AliyunContainerRegistryFullAccess | 管理容器镜像服务(ContainerRegistry)的权限 |
| 18 | AliyunContainerRegistryReadOnlyAccess | 只读访问容器镜像服务(ContainerRegistry)的权限 |
| 19 | AliyunCSFullAccess | 管理容器服务(CS)的权限 |
| 20 | AliyunDataWorksFullAccess | 管理DataWorks的权限 |
| 21 | AliyunDBSFullAccess | 管理数据库备份服务(DBS)的权限 |
| 22 | AliyunDCDNFullAccess | 管理全站加速(DCDN)的权限 |
| 23 | AliyunDCDNReadOnlyAccess | 只读访问全站加速(DCDN)的权限 |
| 24 | AliyunDirectMailFullAccess | 管理邮件推送(DirectMail)的权限 |
| 25 | AliyunDirectMailReadOnlyAccess | 只读访问邮件推送(DirectMail)的权限 |
| 26 | AliyunDLAFullAccess | 管理Data Lake Analytics的权限 |
| 27 | AliyunDLAReadOnlyAccess | 只读访问Data Lake Analytics的权限 |
| 28 | AliyunDNSFullAccess | 管理云解析(DNS)的权限 |
| 29 | AliyunDNSReadOnlyAccess | 只读访问云解析(DNS)的权限 |
| 30 | AliyunDomainFullAccess | 管理域名服务的权限 |
| 31 | AliyunDRDSFullAccess | 管理分布式关系型数据库服务(DRDS)的权限 |
| 32 | AliyunDRDSReadOnlyAccess | 只读访问分布式关系型数据库服务(DRDS)的权限 |
| 33 | AliyunDTSFullAccess | 管理数据传输服务(DTS)的权限 |
| 34 | AliyunDTSReadOnlyAccess | 只读访问数据传输服务(DTS)的权限 |
| 35 | AliyunDycdpFullAccess | 管理流量服务(CDP)的权限 |
| 36 | AliyunDycdpReadOnlyAccess | 只读访问流量服务(CDP)的权限 |
| 37 | AliyunDyiotFullAccess | 管理物联网卡服务的权限 |
| 38 | AliyunDyiotReadOnlyAccess | 只读访问物联网卡的权限 |
| 39 | AliyunDyplsFullAccess | 管理私密专线(Private Line Service)的权限 |
| 40 | AliyunDyplsReadOnlyAccess | 只读访问私密专线(Private Line Service)的权限 |
| 41 | AliyunDypnsFullAccess | 管理号码认证服务的权限 |
| 42 | AliyunDypnsReadOnlyAccess | 只读访问号码认证服务的权限 |
| 43 | AliyunDysmsFullAccess | 管理短信服务(SMS)的权限 |
| 44 | AliyunDysmsReadOnlyAccess | 只读访问短信服务(SMS)的权限 |
| 45 | AliyunDyvmsFullAccess | 管理语音服务(VMS)的权限 |
| 46 | AliyunDyvmsReadOnlyAccess | 只读访问语音服务(VMS)的权限 |
| 47 | AliyunECIFullAccess | 管理弹性容器实例(ECI)的权限 |
| 48 | AliyunECIReadOnlyAccess | 只读访问弹性容器实例(ECI)的权限 |
| 49 | AliyunECSFullAccess | 管理云服务器服务(ECS)的权限 |
| 50 | AliyunECSNetworkInterfaceManagementAccess | 管理ECS弹性网卡的权限 |
| 51 | AliyunECSReadOnlyAccess | 只读访问云服务器服务(ECS)的权限 |
| 52 | AliyunEDASFullAccess | 管理企业级分布式应用服务(EDAS)的权限 |
| 53 | AliyunEHPCFullAccess | 管理弹性高性能计算(EHPC)的权限 |
| 54 | AliyunEHPCReadOnlyAccess | 只读访问弹性高性能计算(EHPC)的权限 |
| 55 | AliyunEIPFullAccess | 管理弹性公网IP(EIP)的权限 |
| 56 | AliyunEIPReadOnlyAccess | 只读访问弹性公网IP(EIP)的权限 |
| 57 | AliyunElasticsearchFullAccess | 管理Elasticsearch的权限 |
| 58 | AliyunElasticsearchReadOnlyAccess | 只读访问Elasticsearch的权限 |
| 59 | AliyunEMRDevelopAccess | E-MapReduce开发者权限 |
| 60 | AliyunEMRFullAccess | 管理E-MapReduce的权限 |
| 61 | AliyunENSFullAccess | 管理边缘节点服务(ENS)的权限 |
| 62 | AliyunENSReadOnlyAccess | 只读访问边缘节点服务(ENS)的权限 |
| 63 | AliyunESSFullAccess | 管理弹性伸缩服务(ESS)的权限 |
| 64 | AliyunESSReadOnlyAccess | 只读访问弹性伸缩服务(ESS)的权限 |
| 65 | AliyunExpressConnectFullAccess | 管理高速通道(ExpressConnect)的权限 |
| 66 | AliyunExpressConnectReadOnlyAccess | 只读访问高速通道(ExpressConnect)的权限 |
| 67 | AliyunFCFullAccess | 管理函数计算(FC)服务的权限 |
| 68 | AliyunFCInvocationAccess | 调用函数计算(FC)服务函数的权限 |
| 69 | AliyunFCReadOnlyAccess | 只读访问函数计算(FC)服务的权限 |
| 70 | AliyunFeedbackFullAccess | 管理移动用户反馈(Feedback)服务的权限 |
| 71 | AliyunFeedbackReadOnlyAccess | 只读访问移动用户反馈(Feedback)服务的权限 |
| 72 | AliyunGlobalAccelerationFullAccess | 管理全球加速(GlobalAcceleration)的权限 |
| 73 | AliyunGlobalAccelerationReadOnlyAccess | 只读访问全球加速(GlobalAcceleration)的权限 |
| 74 | AliyunGPDBFullAccess | 管理 HybridDB for PostgreSQL 的权限 |
| 75 | AliyunGPDBReadOnlyAccess | 只读访问 HybridDB for PostgreSQL 的权限 |
| 76 | AliyunHBaseFullAccess | 管理云数据库HBase版的权限 |
| 77 | AliyunHBaseReadOnlyAccess | 只读访问云数据库HBase版的权限 |
| 78 | AliyunHBRFullAccess | 管理混合云备份服务(HBR)的权限 |
| 79 | AliyunHBRReadOnlyAccess | 只读访问混合云备份服务(HBR)的权限 |
| 80 | AliyunHCSSGWFullAccess | 管理云存储网关服务(HCS-SGW)的权限 |
| 81 | AliyunHDMFullAccess | 管理混合云数据库管理(HDM)的权限 |
| 82 | AliyunHDMReadOnlyAccess | 只读访问混合云数据库管理(HDM)的权限 |
| 83 | AliyunHDRFullAccess | 管理混合云容灾(HDR)的权限, 包含ECS部分管理权限 |
| 84 | AliyunHiTSDBFullAccess | 管理高性能时间序列数据库(HiTSDB)的权限 |
| 85 | AliyunHiTSDBReadOnlyAccess | 只读访问高性能时间序列数据库(HiTSDB)的权限 |
| 86 | AliyunHotfixFullAccess | 管理热修复(Hotfix)服务的权限 |
| 87 | AliyunHotfixReadOnlyAccess | 只读访问热修复(Hotfix)服务的权限 |
| 88 | AliyunHTTPDNSFullAccess | 管理HTTPDNS的权限 |
| 89 | AliyunHTTPDNSReadOnlyAccess | 只读访问HTTPDNS的权限 |
| 90 | AliyunImageSearchFullAccess | 管理图像搜索(ImageSearch)的权限 |
| 91 | AliyunImageSearchReadOnlyAccess | 只读访问图像搜索(ImageSearch)的权限 |
| 92 | AliyunIMMFullAccess | 管理智能媒体管理(IMM)的权限 |
| 93 | AliyunIMMReadOnlyAccess | 只读访问智能媒体管理(IMM)的权限 |
| 94 | AliyunIOTFullAccess | 管理物联网套件(IOT)的权限 |
| 95 | AliyunIOTReadOnlyAccess | 只读访问物联网套件(IOT)的权限 |
| 96 | AliyunIoVCCConfigAccess | 配置智联车管理云平台(IoVCC)的权限, 不包含OTA版本发布权限 |
| 97 | AliyunIoVCCFullAccess | 管理智联车管理云平台(IoVCC)的权限 |
| 98 | AliyunIoVCCReadOnlyAccess | 只读访问智联车管理云平台(IoVCC)的权限 |
| 99 | AliyunIPlusFullAccess | 管理关系网络分析(IPlus)的权限 |
| 100 | AliyunIPvTranslationFullAccess | 管理IPv转换服务的权限 |
| 101 | AliyunIPvTranslationReadOnlyAccess | 只读访问IPv转换服务的权限 |
| 102 | AliyunKafkaFullAccess | 管理消息队列Kafka的权限 |
| 103 | AliyunKafkaPubOnlyAccess | 消息队列Kafka的发布权限 |
| 104 | AliyunKafkaSubOnlyAccess | 消息队列Kafka的订阅权限 |
| 105 | AliyunKvstoreFullAccess | 管理云数据库Redis版(Kvstore)的权限 |
| 106 | AliyunKvstoreReadOnlyAccess | 只读访问云数据库Redis版(Kvstore)的权限 |
| 107 | AliyunLiveFullAccess | 管理视频直播(Live)的权限 |
| 108 | AliyunLogFullAccess | 管理日志服务(Log)的权限 |
| 109 | AliyunLogReadOnlyAccess | 只读访问日志服务(Log)的权限 |
| 110 | AliyunLubanFullAccess | 管理智能设计(AIDesign)的权限 |
| 111 | AliyunMarketplaceFullAccess | 管理云市场(Marketplace)的权限 |
| 112 | AliyunMGWFullAccess | 管理闪电立方(MGW)的权限 |
| 113 | AliyunMHubFullAccess | 管理移动云(MHub)的权限 |
| 114 | AliyunMHubReadOnlyAccess | 只读访问移动云(MHub)的权限 |
| 115 | AliyunMNSFullAccess | 管理消息服务(MNS)的权限 |
| 116 | AliyunMNSReadOnlyAccess | 只读访问消息服务(MNS)的权限 |
| 117 | AliyunMobileTestingFullAccess | 管理移动测试(MobileTesting)的权限 |
| 118 | AliyunMobileTestingReadOnlyAccess | 只读访问移动测试(MobileTesting)的权限 |
| 119 | AliyunMongoDBFullAccess | 管理云数据库服务(MongoDB)的权限 |
| 120 | AliyunMongoDBReadOnlyAccess | 只读访问云数据库服务(MongoDB)的权限 |
| 121 | AliyunMPushFullAccess | 管理移动推送(MPush)的权限 |
| 122 | AliyunMPushReadOnlyAccess | 只读访问移动推送(MPush)的权限 |
| 123 | AliyunMQFullAccess | 管理消息队列(MQ)的权限 |
| 124 | AliyunMQPubOnlyAccess | 消息队列(MQ)的发布权限 |
| 125 | AliyunMQSubOnlyAccess | 消息队列(MQ)的订阅权限 |
| 126 | AliyunMTSFullAccess | 管理媒体转码服务(MTS)的权限 |
| 127 | AliyunMTSPlayerAuth | 使用媒体转码服务(MTS)播放器的权限 |
| 128 | AliyunNASFullAccess | 管理文件存储服务(NAS)的权限 |
| 129 | AliyunNASReadOnlyAccess | 查看文件存储服务(NAS)的权限 |
| 130 | AliyunNATGatewayFullAccess | 管理NAT网关(NAT Gateway)的权限 |
| 131 | AliyunNATGatewayReadOnlyAccess | 只读访问NAT网关(NAT Gateway)的权限 |
| 132 | AliyunNotificationsFullAccess | 管理消息中心(Notifications)的权限 |
| 133 | AliyunNPPFullAccess | 管理Node.js性能平台(NPP)的权限 |
| 134 | AliyunOCSFullAccess | 管理云数据库Memcache版(OCS)的权限 |
| 135 | AliyunOCSReadOnlyAccess | 只读访问云数据库Memcache版(OCS)的权限 |
| 136 | AliyunOpenAdFullAccess | 管理营销引擎(OpenAd)的权限 |
| 137 | AliyunOpenSearchFullAccess | 管理开放搜索(OpenSearch)服务的权限 |
| 138 | AliyunOpenSearchReadOnlyAccess | 只读访问开放搜索(OpenSearch)服务的权限 |
| 139 | AliyunOSSFullAccess | 管理对象存储服务(OSS)权限 |
| 140 | AliyunOSSReadOnlyAccess | 只读访问对象存储服务(OSS)的权限 |
| 141 | AliyunOTSFullAccess | 管理表格存储服务(OTS)的权限 |
| 142 | AliyunOTSReadOnlyAccess | 只读访问表格存储服务(OTS)的权限 |
| 143 | AliyunOTSWriteOnlyAccess | 只写表格存储服务(OTS)的权限 |
| 144 | AliyunPCDNFullAccess | 管理PCDN的权限 |
| 145 | AliyunPCDNReadOnlyAccess | 只读访问PCDN的权限 |
| 146 | AliyunPetaDataFullAccess | 管理HybridDB for MySQL的权限 |
| 147 | AliyunPetaDataReadOnlyAccess | 只读访问HybridDB for MySQL的权限 |
| 148 | AliyunPolardbFullAccess | 管理云数据库POLARDB的权限 |
| 149 | AliyunPolardbReadOnlyAccess | 只读访问云数据库POLARDB的权限 |
| 150 | AliyunPTSFullAccess | 管理性能测试服务(PTS)的权限 |
| 151 | AliyunPvtzFullAccess | 管理云解析PrivateZone的权限 |
| 152 | AliyunPvtzReadOnlyAccess | 只读访问云解析PrivateZone的权限 |
| 153 | AliyunRDCFullAccess | 管理云效(RDC)的权限 |
| 154 | AliyunRDCReadOnlyAccess | 只读访问云效(RDC)的权限 |
| 155 | AliyunRDSFullAccess | 管理云数据库服务(RDS)的权限 |
| 156 | AliyunRDSReadOnlyAccess | 只读访问云数据库服务(RDS)的权限 |
| 157 | AliyunROSFullAccess | 管理资源编排服务(ROS)的权限 |
| 158 | AliyunROSReadOnlyAccess | 只读访问资源编排服务(ROS)的权限 |
| 159 | AliyunRTCFullAccess | 管理音视频通信(RTC)的权限 |
| 160 | AliyunRTCReadOnlyAccess | 只读访问音视频通信(RTC)的权限 |
| 161 | AliyunSCAFullAccess | 管理智能对话分析服务(SCA)的权限 |
| 162 | AliyunSCAReadOnlyAccess | 只读访问智能对话分析服务(SCA)的权限 |
| 163 | AliyunSCDNFullAccess | 管理安全加速(SCDN)的权限 |
| 164 | AliyunSCDNReadOnlyAccess | 只读访问安全加速(SCDN)的权限 |
| 165 | AliyunSLBFullAccess | 管理负载均衡服务(SLB)的权限 |
| 166 | AliyunSLBReadOnlyAccess | 只读访问负载均衡服务(SLB)的权限 |
| 167 | AliyunSmartAccessGatewayFullAccess | 管理智能接入网关(SmartAccessGateway)的权限 |
| 168 | AliyunSmartAccessGatewayReadOnlyAccess | 只读访问智能接入网关(SmartAccessGateway)的权限 |
| 169 | AliyunSNSUFullAccess | 管理智能游戏网络加速(SNSU)的权限 |
| 170 | AliyunSNSUReadOnlyAccess | 只读访问智能游戏网络加速(SNSU)的权限 |
| 171 | AliyunStreamFullAccess | 管理流计算(Stream)服务的权限 |
| 172 | AliyunSWASFullAccess | 管理轻量应用服务器(SWAS)的权限 |
| 173 | AliyunVODFullAccess | 管理视频点播服务(VOD)的权限 |
| 174 | AliyunVODPlayAuth | 视频点播服务(VOD)播放权限 |
| 175 | AliyunVODReadOnlyAccess | 只读访问视频点播服务(VOD)的权限 |
| 176 | AliyunVODUploadAuth | 视频点播服务(VOD)上传权限 |
| 177 | AliyunVPCFullAccess | 管理专有网络(VPC)的权限 |
| 178 | AliyunVPCReadOnlyAccess | 只读访问专有网络(VPC)的权限 |
| 179 | AliyunVPNGatewayFullAccess | 管理VPN网关(VPNGateway)的权限 |
| 180 | AliyunVPNGatewayReadOnlyAccess | 只读访问VPN网关(VPNGateway)的权限 |
| 181 | AliyunWorkSuiteCDFullAccess | 管理阿里云办公云投屏(CD)的权限 |
| 182 | AliyunWorkSuiteNACFullAccess | 管理阿里云办公网络准入(NAC)的权限 |
1.1.4 安全
53个与安全产品相关的权限
| 序号 | 权限策略名称 | 说明 |
| 1 | AliyunYundunAegisFullAccess | 管理云盾安骑士(Aegis)的权限 |
| 2 | AliyunYundunAegisReadOnlyAccess | 只读访问云盾安骑士(Aegis)的权限 |
| 3 | AliyunYundunAFSFullAccess | 管理云盾数据风控(AFS)的权限 |
| 4 | AliyunYundunAntibotFullAccess | 管理云盾爬虫风险管理(Antibot)的权限 |
| 5 | AliyunYundunAntibotReadOnlyAccess | 只读访问云盾爬虫风险管理(Antibot)的权限 |
| 6 | AliyunYundunAntiDDoSBagFullAccess | 管理云盾DDoS防护包(Anti-DDoS Bag)的权限 |
| 7 | AliyunYundunAntiDDoSBagReadOnlyAccess | 只读访问云盾DDoS防护包(Anti-DDoS Bag)的权限 |
| 8 | AliyunYundunAntiDDoSPremiumFullAccess | 管理云盾DDoS高防(国际)(Anti-DDoS Premium)的权限 |
| 9 | AliyunYundunAntiDDoSPremiumReadOnlyAccess | 只读访问云盾DDoS高防(国际)(Anti-DDoS Premium)的权限 |
| 10 | AliyunYundunAPSFullAccess | 管理云盾渗透测试(APS)的权限 |
| 11 | AliyunYundunAvdsFullAccess | 管理云盾漏洞扫描器(Avds)的权限 |
| 12 | AliyunYundunBastionHostAuditOnlyAccess | 管理云盾堡垒机(BastionHost)的审计员权限 |
| 13 | AliyunYundunBastionHostFullAccess | 管理云盾堡垒机(BastionHost)的权限 |
| 14 | AliyunYundunBastionHostOperateOnlyAccess | 管理云盾堡垒机(BastionHost)的运维员权限 |
| 15 | AliyunYundunBastionHostReadOnlyAccess | 只读访问云盾堡垒机(BastionHost)的权限 |
| 16 | AliyunYundunCertFullAccess | 管理云盾证书服务的权限 |
| 17 | AliyunYundunCertReadOnlyAccess | 只读访问云盾证书服务的权限 |
| 18 | AliyunYundunCloudAuthFullAccess | 管理云盾实人认证(CloudAuth)的权限 |
| 19 | AliyunYundunCloudAuthReadOnlyAccess | 只读访问云盾实人认证(CloudAuth)的权限 |
| 20 | AliyunYundunCloudFirewallFullAccess | 管理云盾云防火墙(CloudFirewall)的权限 |
| 21 | AliyunYundunCloudFirewallReadOnlyAccess | 只读访问云盾云防火墙(CloudFirewall)的权限 |
| 22 | AliyunYundunCloudsFullAccess | 管理云盾安全网络(Clouds)的权限 |
| 23 | AliyunYundunDbAuditFullAccess | 管理云盾数据库审计(DbAudit)的权限 |
| 24 | AliyunYundunDbAuditReadOnlyAccess | 只读访问云盾数据库审计(DbAudit)的权限 |
| 25 | AliyunYundunDDosFullAccess | 管理云盾DDos基础防护(Anti-DDoS Basic)的权限 |
| 26 | AliyunYundunDDosReadOnlyAccess | 只读访问云盾DDos基础防护(Anti-DDoS Basic)的权限 |
| 27 | AliyunYundunDDoSRewardsFullAccess | 管理云盾高防增值服务(DDoSRewards)的权限 |
| 28 | AliyunYundunDDoSRewardsReadOnlyAccess | 只读访问云盾高防增值服务(DDoSRewards)的权限 |
| 29 | AliyunYundunFlawSaleFullAccess | 管理云盾补丁管理(FlawSale)的权限 |
| 30 | AliyunYundunFullAccess | 管理云盾所有产品(Yundun)的权限 |
| 31 | AliyunYundunGameShieldFullAccess | 管理云盾游戏盾(GameShield)的权限 |
| 32 | AliyunYundunGameShieldReadOnlyAccess | 只读访问云盾游戏盾(GameShield)的权限 |
| 33 | AliyunYundunGreenWebFullAccess | 管理云盾内容安全(GreenWeb)的权限 |
| 34 | AliyunYundunHighFullAccess | 管理云盾高防IP(Anti-DDoS Pro)的权限 |
| 35 | AliyunYundunHighReadOnlyAccess | 只读访问云盾高防IP(Anti-DDoS Pro)的权限 |
| 36 | AliyunYundunHSMFullAccess | 管理云盾密码机(HSM)的权限 |
| 37 | AliyunYundunHSMReadOnlyAccess | 只读访问云盾密码机(HSM)的权限 |
| 38 | AliyunYundunJaqFullAccess | 管理云盾移动安全的权限 |
| 39 | AliyunYundunMSSFullAccess | 管理云盾安全托管(MSS)的权限 |
| 40 | AliyunYundunNewBGPAntiDDoSServicePROFullAccess | 管理云盾新BGP高防IP(New BGP Anti-DDoS Service PRO)的权限 |
| 41 | AliyunYundunNewBGPAntiDDoSServicePROReadOnlyAccess | 只读访问新BGP高防IP(New BGP Anti-DDoS Service PRO)的权限 |
| 42 | AliyunYundunPartnerFullAccess | 管理云盾安全合作伙伴产品的权限 |
| 43 | AliyunYundunSAFFullAccess | 管理云盾风险识别(SAF)的权限 |
| 44 | AliyunYundunSASFullAccess | 管理云盾态势感知(SAS)的权限 |
| 45 | AliyunYundunSASReadOnlyAccess | 只读访问云盾态势感知(SAS)的权限 |
| 46 | AliyunYundunSCFullAccess | 管理云盾安全管控(SC)的权限 |
| 47 | AliyunYundunSCReadOnlyAccess | 只读访问云盾安全管控(SC)的权限 |
| 48 | AliyunYundunSLMFullAccess | 管理云盾安全日志源管理(SLM)的权限 |
| 49 | AliyunYundunSOSFullAccess | 管理云盾SOS服务(SOS)的权限 |
| 50 | AliyunYundunWAFFullAccess | 管理云盾应用防火墙(WAF)的权限 |
| 51 | AliyunYundunWAFReadOnlyAccess | 只读访问云盾应用防火墙(WAF)的权限 |
| 52 | AliyunYundunXianzhiFullAccess | 管理云盾先知计划(Xianzhi)的权限 |
| 53 | AliyunYundunXianzhiReadOnlyAccess | 只读访问云盾先知计划(Xianzhi)的权限 |
1.2 典型应用场景
以下为RAM的典型应用场景。建议在启用RAM时,了解和确认相关场景属于那种情况。
| 典型场景 | 适用 | 案例 | 相关链接 |
| 用户管理与分权 | 企业内部运维团队,针对阿里云上的产品、服务的管理,进行不同人员、角色的授权 | 将服务器(ECS)管理,数据库(RDS)管理分别给不同的运维人员开设相关账号 | |
| 针对移动设备应用的临时授权 | 企业不同的应用,针对阿里云上统一的某些资源,提供统一的授权和访问控制 | 不同的应用程序都需要访问的服务(如OSS),可以通过统一的权限策略进行统一管控 | |
| 跨云账号的资源授权 | 企业部分运维外包,针对阿里云上的产品、服务的管理,授权另一账号;另一账号可以继续向下进行分解、授权 | A账号将部分云服务(如ECS、RDS)的权限授权给B账号后,B账号可以继续开设子用户,用A账号给出授权访问A的资源 | |
| 资源分组与授权 | 企业内部运维团队的每个管理员各自能够独立管理其项目人员及其访问权限。 | 公司 A 正在开发三款游戏项目。每个游戏项目都会用到多种云资源(如 ECS 实例/ RDS 实例/ SLB 实例/CDN/…)。目前公司 A 只有一个云账号,该账号下有超过 100 个 ECS 实例。 | |
| 云上应用的动态身份与授权管理 | 使企业的应用程序具有访问其他云服务API的权限。 | 企业的ECS 中部署企业的应用程序。这些应用程序需要使用 AK (Access Key)访问其它云服务 API,比如读取 OSS 存储桶中的数据对象。 | |
| 使用企业本地账号登录阿里云 | 云上操作都必须使用企业内部域账号系统进行统一的身份认证。禁止任何企业成员使用独立用户账号和密码直接操作云资源的行为。 | 企业 A 有两个部门上云,每个部门各自独立创建了云账号(分别记为A1和A2)。要求所有云上操作都必须使用企业内部域账号系统进行统一的身份认证。 |
2 阿里云RAM建议方案
2.1 整体策略
首先需要根据应用场景,确认采用具体场景。以下内容关注“用户管理与分权”场景下的使用。
2.2 方案说明
在本方案中,一个公司有大量的应用系统部署在云上,因此涉及到如下运维需求:
● 运维人员操作、访问、管理云资源
● 特定内部平台通过API方式操作、访问、管理云资源
● 系统使用云上的SaaS服务(如OSS、邮件等)
这三类需求相互之间是分立的,因此一般建议通过如下手段进行:
● 通过因人设岗的方式,结合公司管理的组织架构维度,建立相关的运维RAM账号。
● 通过因系统设岗的方式,结合企业管理平台的需求,建立各个管理系统相关的RAM账号。例如:对CI/CD平台涉及到的 ECS 操作,建立RAM子用户并赋予 ECS 相关权限。
● 结合独立场景设置独立的RAM账号。例如:对每个使用OSS的系统,设置独立的RAM子用户,并授予特定OSSBucket权限。
2.3 运维体系比较
传统运维体系:
传统运维体系与传统基础架构体系是对应的,通常主要是层次化管理。即不同的运维管理人员,分管其中一个层次的基础设施,依赖于下一层的基础设施服务和运维人员,并对上一层的基础设施服务和运维人员负责。
其中典型的服务如数据库,通常涉及到四个层次。由不同人员管理。
安全相关的管理,通常会采用矩阵式管理,即横向通过专门的安全团队进行统一策略管理,纵向的实施落入每一个团队/层次。
参考下图:
阿里云运维体系:
由于阿里云计算资源的交付方式与传统不同,其核心差异在于,阿里云交付的大量产品/服务是直接交付,而非通过主机(ECS)进行再次搭建的,因此这些产品/服务是与主机并行的,比如RDS。少量服务甚至不纳入客户的VPC网络环境,比如OSS。个别服务是全局的,比如STS。因此其层次化程度大大弱于传统IT环境。而为了对这些产品/服务进行管理,又有一些额外的产品/服务存在,如费用、审计、监控等。
如下图:
阿里云的交付模式,导致阿里云运维体系下的运维体系相比传统在层次上简化,更多的是直接根据云产品进行运维划分。而由于大量的云产品不再需要安装、搭建等工作,其具体使用直接由应用程序进行,因此这部分管理也可以转由给应用开发团队进行。
2.4 建议方案
2.4.1 人员角色
阿里云的RAM体系主要包括:用户、用户组、RAM角色管理、权限管理四个部分。对自己名下的RAM用户授权是将一个或多个权限策略绑定到用户或用户组的过程;对其他云账号下的RAM用户授权是将一个或多个权限策略绑定到角色的过程。
2.4.1.1 云运维负责人
建议有一个云运维负责人,负责整体云资源运维工作,并掌握主账户(部分未接入RAM的产品/服务,需要主账号操作)。
建议负责人为自己开设特殊子用户,用于日常工作的使用(类似于不使用Root账户,而使用一些特殊权限账户的传统做法)
● 组 – 运维负责/(也可以不开设组)
● RAM账号 – 运维负责特权账号
● 权限 – 关键和主要的权限,可以避免对一些特殊业务授权(如安全产品)
2.4.1.2 主机运维团队
主机运维团队也可以含安全组/虚拟防火墙工作。作为阿里云最重要的服务,建议ECS能够单独进行运维。
阿里云提供的权限策略,目前在ECS的管理方面,是可以限制到指定的ECS实例的(只读权限目前不可以指定到ECS实例)。
● 组 – ECS
● RAM账号 – 按需(可以根据不同的ECS实例进一步划分)
● 权限 – ECS(管理、只读) + 其它涉及的产品管理(按需,如NAS、OSS) + 其它涉及的产品只读
2.4.1.3 网络运维团队
网络运维团队可以含安全组/虚拟防火墙工作。阿里云的VPC环境涉及到虚拟路由器、虚拟交换机、安全组等方面的规划配置工作。如果有专线,也涉及到专线对接的两侧配置,包括阿里云侧边界路由器方面的配置工作。这部分工作还与阿里云同城双活的规划相关。
● 组 – 网络
● RAM账号 – 按需
● 权限 – 网络类产品管理(SLB、VPC、EIP、ExpressConnect) + 涉及网络的产品(ECS、RDS、OCS、DRDS、加密机、KVStore、OTS、MangoDB、NAS、OB等)只读 + 安全组相关管理(ECS)
2.4.1.4 数据库运维团队
作为阿里云最重要的服务,建议RDS能够单独进行运维。
阿里云提供的权限策略,目前在RDS的管理方面,是可以限制到指定的RDS实例的(只读权限目前不可以指定到RDS实例)。
● 组 – RDS
● RAM账号 – 按需(可以根据不同的RDS实例进一步划分)
● 权限 – RDS(管理、只读) + 其它数据库产品管理(按需,如KVStore、OTS、MangoDB、OB) + 其它涉及的产品只读
2.4.1.5 安全运维团队
安全运维团队可能涉及两方面工作,包括具体云服务的安全策略,和阿里云安全产品的管理/访问。(也可以分为两个团队)
云服务相关的安全策略(如白名单、安全组等)属于具体产品的一部分,权限无法进一步细分,因此安全团队主要负责策略和审计工作,而由具体维护团队进行配置实施。
● 组 – 安全
● RAM账号 – 按需
● 权限 – 所有产品只读(ReadOnlyAccess) + 云盾安全产品管理
2.4.1.6 日常监控团队
为日常监控人员,阿里云工单提交/跟踪的人员,建立独立的RAM账户。
2.4.1.7 其它产品运维团队
其它产品建议均分项运维,或对一些产品进行合并运维。其中SLB和OSS的运维有一些特别说明,可以参见帮助文档。建议如果OSS作为系统的功能核心的话,OSS启用独立运维。
2.4.2 管理矩阵
支持RAM的云服务参考:https://help.aliyun.com/document_detail/28630.html
2.4.2.1 角色组
推荐企业中可设置对应的角色组便于组织管理。
| 角色组 | 备注 |
| 管理 | 云运维管理人员 |
| 财务 | 财务管理人员 |
| 主机 | 主机管理员 |
| 安全 | 安全管理员 |
| 网络 | 网络管理员 |
| 数据库 | 数据库管理员 |
| 监控 | 监控负责人 |
| 研发 | 研发人员 |
| 数据分析 | 数据分析人员 |
| 其他服务 | 其他服务管理员 |
2.4.2.2 权限策略矩阵
建议选择:√,可选:※
| 序号 | 权限策略名称 | 角色组 | 管理 | 财务 | 主机 | 安全 | 网络 | 数据库 | 监控 | 研发 | 数据分析 | 其他服务 | |||
| 角色职责/权限说明 | 云运维负责人 | 财务 | 弹性计算 | 存储 | 安全 | 网络 | 云数据库 | 访问监控 | 工单 | 研发 | 大数据 | 云市场、云通信、域名 | 运维服务 | ||
| 1 | AdministratorAccess | 管理所有阿里云资源的权限 | √ | ||||||||||||
| 2 | AliyunActionTrailFullAccess | 管理操作审计(ActionTrail)的权限 | √ | ||||||||||||
| 3 | AliyunAdvisorFullAccess | 管理智能顾问(Advisor)的权限 | √ | ||||||||||||
| 4 | AliyunApiGatewayFullAccess | 管理网关服务(ApiGateway)的权限 | √ | ||||||||||||
| 5 | AliyunARMSFullAccess | 管理业务实时监控服务(ARMS)的权限 | √ | ||||||||||||
| 6 | AliyunBSSFullAccess | 管理费用中心(BSS)的权限 | √ | ||||||||||||
| 7 | AliyunCDNFullAccess | 管理CDN的权限 | √ | ||||||||||||
| 8 | AliyunCENFullAccess | 管理云企业网(CEN)的权限 | √ | ||||||||||||
| 9 | AliyunChatbotFullAccess | 管理云小蜜的权限 | √ | ||||||||||||
| 10 | AliyunCloudCommunicationFullAccess | 管理云通信财务(CloudCommunication)的权限 | √ | ||||||||||||
| 11 | AliyunCloudMonitorFullAccess | 管理云监控(CloudMonitor)的权限 | √ | ||||||||||||
| 12 | AliyunCommonBandwidthPackageFullAccess | 管理共享带宽的权限 | √ | ||||||||||||
| 13 | AliyunDataWorksFullAccess | 管理DataWorks的权限 | √ | ||||||||||||
| 14 | AliyunDomainFullAccess | 管理域名服务的权限 | √ | ||||||||||||
| 15 | AliyunDRDSFullAccess | 管理分布式关系型数据库服务(DRDS)的权限 | √ | ||||||||||||
| 16 | AliyunDTSFullAccess | 管理数据传输服务(DTS)的权限 | √ | ||||||||||||
| 17 | AliyunDysmsFullAccess | 管理短信服务(SMS)的权限 | √ | ||||||||||||
| 18 | AliyunDyvmsFullAccess | 管理语音服务(VMS)的权限 | ※ | ||||||||||||
| 19 | AliyunECSFullAccess | 管理云服务器服务(ECS)的权限 | √ | ||||||||||||
| 20 | AliyunEDASFullAccess | 管理企业级分布式应用服务(EDAS)的权限 | √ | ||||||||||||
| 21 | AliyunEIPFullAccess | 管理弹性公网IP(EIP)的权限 | √ | ||||||||||||
| 22 | AliyunEMRFullAccess | 管理E-MapReduce的权限 | √ | ||||||||||||
| 23 | AliyunESSFullAccess | 管理弹性伸缩服务(ESS)的权限 | √ | ||||||||||||
| 24 | AliyunExpressConnectFullAccess | 管理高速通道(ExpressConnect)的权限 | √ | ||||||||||||
| 25 | AliyunIOTFullAccess | 管理物联网套件(IOT)的权限 | √ | ||||||||||||
| 26 | AliyunIPlusFullAccess | 管理关系网络分析(IPlus)的权限 | √ | ||||||||||||
| 27 | AliyunKafkaFullAccess | 管理消息队列Kafka的权限 | √ | ||||||||||||
| 28 | AliyunLiveFullAccess | 管理视频直播(Live)的权限 | √ | ||||||||||||
| 29 | AliyunLogFullAccess | 管理日志服务(Log)的权限 | √ | ||||||||||||
| 30 | AliyunMarketplaceFullAccess | 管理云市场(Marketplace)的权限 | √ | ||||||||||||
| 31 | AliyunMNSFullAccess | 管理消息服务(MNS)的权限 | √ | ||||||||||||
| 32 | AliyunMQFullAccess | 管理消息队列(MQ)的权限 | √ | ||||||||||||
| 33 | AliyunMTSFullAccess | 管理媒体转码服务(MTS)的权限 | √ | ||||||||||||
| 34 | AliyunNASFullAccess | 管理文件存储服务(NAS)的权限 | √ | ||||||||||||
| 35 | AliyunNATGatewayFullAccess | 管理NAT网关(NATGateway)的权限 | √ | ||||||||||||
| 36 | AliyunOSSFullAccess | 管理对象存储服务(OSS)权限 | √ | ||||||||||||
| 37 | AliyunOTSFullAccess | 管理表格存储服务(OTS)的权限 | √ | ||||||||||||
| 38 | AliyunRAMFullAccess | 管理访问控制(RAM)的权限,即管理用户以及授权的权限。注:被授予AliyunRAMFullAccess权限的子账号可以把所有其它权限都授予自己。 | ※ | ||||||||||||
| 39 | AliyunRDCFullAccess | 管理云效(RDC)的权限 | √ | ||||||||||||
| 40 | AliyunRDSFullAccess | 管理云数据库服务(RDS)的权限 | √ | ||||||||||||
| 41 | AliyunROSFullAccess | 管理资源编排服务(ROS)的权限 | √ | ||||||||||||
| 42 | AliyunRTCFullAccess | 管理音视频通信(RTC)的权限 | √ | ||||||||||||
| 43 | AliyunSCDNFullAccess | 管理安全加速(SCDN)的权限 | √ | ||||||||||||
| 44 | AliyunSLBFullAccess | 管理负载均衡服务(SLB)的权限 | √ | ||||||||||||
| 45 | AliyunSmartAccessGatewayFullAccess | 管理智能接入网关(SmartAccessGateway)的权限 | √ | ||||||||||||
| 46 | AliyunSupportFullAccess | 管理工单系统的权限 | √ | ||||||||||||
| 47 | AliyunVODFullAccess | 管理视频点播服务(VOD)的权限 | √ | ||||||||||||
| 48 | AliyunVPCFullAccess | 管理专有网络(VPC)的权限 | √ | ||||||||||||
| 49 | AliyunVPNGatewayFullAccess | 管理VPN网关(VPNGateway)的权限 | √ | ||||||||||||
| 50 | AliyunYundunFullAccess | 管理云盾所有产品(Yundun)的权限 | √ | ||||||||||||
| 51 | ReadOnlyAccess | 只读访问所有阿里云资源的权限 | ※ | ||||||||||||
扫一扫
634
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
