一、什么是阿里云访问控制(RAM)
在行云管家私有部署中,可以配置门户存储到阿里云OSS,此时需要先开通RAM访问控制;
RAM (Resource Access Management) 是阿里云为客户提供的用户身份管理与访问控制服务。使用RAM,您可以创建、管理用户账号(比如员工、系统或应用程序),并可以控制这些用户账号对您名下资源具有的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低您的企业信息安全风险。
二、在行云管家中管理OSS资源为什么需要开通访问控制服务?
在行云管家中导入OSS时,会建议用户开通“访问控制”服务,这主要是因为行云管家OSS管理功能本质上是一个第三方工具,阿里云为了防止第三方在未经授权的情况下往开发者的Bucket上传文件,采取了Bucket和Object级别的访问权限控制。 因此,如果用户的阿里云账户未开通“访问控制”服务,会导致无法上传文件。
三、如何开通访问控制(RAM)
(1)登录您的阿里云控制台,确保您的账号已经进行了实名认证(个人实名认证、 企业实名认证);
(2)前往https://buy.aliyun.com/ram,点击“立即开通”;
(3)开通成功;
四、要正常使用行云管家管理阿里云资源,需要如何设置访问控制策略?
阿里云允许用户对Access Key进行访问控制授权策略设置,来保证Access Key的调用安全,而行云管家对云资源的管理,又需要Access Key有足够的权限,下面列出行云管家管理云资源所用到的权限策略,如果由于您进行了相关的权限策略设置而导致使用行云管家过程中出现权限不足的提示,请按照以下说明对Access Key进行授权;
(1)导入及管理阿里云主机:
权限策略 | 策略说明 |
---|---|
AliyunRAMFullAccess | 非必须权限,当子账号没有AccessKey时,需要此权限开创建新的AccessKey。 |
AliyunCloudMonitorFullAccess | 管理云监控(CloudMonitor)的权限,此权限为必须权限。 |
AliyunOSSFullAccess | 管理对象存储服务(OSS)权限,如果您需要管理对象存储资源,请开启该权限。 |
如果该RAM子账号还要用于行云管家的应用中,需要导入AccessKey、访问控制对象存储(OSS)以及CDN的权限,则可以为RAM子账号授予以下这几项权限;
(2)导入及管理阿里云主机、CDN、OSS等:
权限策略 | 策略说明 |
---|---|
AliyunRAMFullAccess | 非必须权限,当子账号没有AccessKey时,需要此权限开创建新的AccessKey。 |
AliyunCloudMonitorFullAccess | 管理云监控(CloudMonitor)的权限,此权限为必须权限。 |
AliyunECSFullAccess | 管理云服务器服务(ECS)的权限,如果您需要管理云主机,请开启该权限。 |
AliyunCDNFullAccess | 管理CDN的权限,如果您需要管理CDN资源,请开启该权限。 |
AliyunOSSFullAccess | 管理对象存储服务(OSS)权限,如果您需要管理对象存储资源,请开启该权限。 |
AliyunEIPFullAccess | 管理EIP权限,如果您需要管理弹性公网IP(EIP)和Ipv6的权限,请开启该权限。 |
(3)管理控制台切换门户存储至阿里云OSS:
权限策略 | 策略说明 |
---|---|
AliyunRAMFullAccess | 非必须权限,当子账号没有AccessKey时,需要此权限开创建新的AccessKey。 |
AliyunCloudMonitorFullAccess | 管理云监控(CloudMonitor)的权限,此权限为必须权限。 |
AliyunECSFullAccess | 管理云服务器服务(ECS)的权限,如果您需要管理云主机,请开启该权限。 |
AliyunCDNFullAccess | 管理CDN的权限,如果您需要管理CDN资源,请开启该权限。 |
AliyunOSSFullAccess | 管理对象存储服务(OSS)权限,如果您需要管理对象存储资源,请开启该权限。 |
AliyunEIPFullAccess | 管理EIP权限,如果您需要管理弹性公网IP(EIP)和Ipv6的权限,请开启该权限。 |
AliyunSTSAssumeRoleAccess | 调用STS服务AssumeRole接口的权限,请开启该权限。 |