阿里雲RAM運維最佳實踐
1 阿里雲RAM介紹
訪問控制(Resource Access Management,簡稱RAM)是一個穩定可靠的集中式訪問控制服務。您可以通過訪問控制將阿里雲資源的訪問及管理許可權分配給您的企業成員或合作伙伴。
產品首頁:https://www.aliyun.com/product/ram
幫助文件:https://help.aliyun.com/product/28625.html
1.1 阿里雲RAM體系
RAM可以分為四大類授權體系。
支援RAM的雲服務參考:https://help.aliyun.com/document_detail/28630.html
1.1.1 通用
包括兩大許可權。
| 序號 |
許可權策略名稱 |
說明 |
| 1 |
AdministratorAccess |
管理所有阿里雲資源的許可權 |
| 2 |
ReadOnlyAccess |
只讀訪問所有阿里雲資源的許可權 |
1.1.2 賬戶、控制檯
包括23個許可權,這些許可權一般與具體雲產品使用無關,而與雲運維工作相關。
| 序號 |
許可權策略名稱 |
說明 |
| 1 |
AliyunActionTrailFullAccess |
管理操作審計(ActionTrail)的許可權 |
| 2 |
AliyunActionTrailReadOnlyAccess |
只讀訪問操作審計(ActionTrail)的許可權 |
| 3 |
AliyunAdvisorFullAccess |
管理智慧顧問(Advisor)的許可權 |
| 4 |
AliyunAdvisorReadOnlyAccess |
只讀訪問智慧顧問(Advisor)的許可權 |
| 5 |
AliyunAgencyFullAccess |
管理分銷平臺的許可權 |
| 6 |
AliyunARMSFullAccess |
管理業務實時監控服務(ARMS)的許可權 |
| 7 |
AliyunBSSFullAccess |
管理費用中心(BSS)的許可權 |
| 8 |
AliyunBSSOrderAccess |
在費用中心(BSS)檢視訂單、支付訂單及取消訂單的許可權 |
| 9 |
AliyunBSSReadOnlyAccess |
只讀訪問費用中心(BSS)的許可權 |
| 10 |
AliyunCloudCommunicationFullAccess |
管理雲通訊財務(CloudCommunication)的許可權 |
| 11 |
AliyunCloudCommunicationReadOnlyAccess |
只讀訪問雲通訊財務(CloudCommunication)的許可權 |
| 12 |
AliyunCloudMonitorFullAccess |
管理雲監控(CloudMonitor)的許可權 |
| 13 |
AliyunCloudMonitorReadOnlyAccess |
只讀訪問雲監控(CloudMonitor)的許可權 |
| 14 |
AliyunFinanceConsoleFullAccess |
管理企業財務管理(EFC)的許可權 |
| 15 |
AliyunFinanceConsoleReadOnlyAccess |
只讀訪問企業財務管理(EFC)的許可權 |
| 16 |
AliyunKMSCryptoAccess |
使用金鑰管理服務(KMS)的金鑰進行加密、解密與產生資料金鑰的許可權。 |
| 17 |
AliyunKMSFullAccess |
管理金鑰管理服務(KMS)的許可權 |
| 18 |
AliyunKMSReadOnlyAccess |
只讀訪問金鑰管理服務(KMS)的許可權 |
| 19 |
AliyunRAMFullAccess |
管理訪問控制(RAM)的許可權,即管理使用者以及授權的許可權。注:被授予AliyunRAMFullAccess許可權的子賬號可以把所有其它許可權都授予自己。 |
| 20 |
AliyunRAMReadOnlyAccess |
只讀訪問訪問控制(RAM)的許可權,即檢視使用者、組以及授權資訊的許可權 |
| 21 |
AliyunSTSAssumeRoleAccess |
呼叫STS服務AssumeRole介面的許可權 |
| 22 |
AliyunSupportFullAccess |
管理工單系統的許可權 |
| 23 |
AliyunTracingAnalysisFullAccess |
管理鏈路追蹤(TracingAnalysis)的許可權 |
1.1.3 雲產品
包括182個許可權。大部分產品都有FullAccess(管理)和ReadOnlyAccess(只讀)兩種許可權,少數產品只有一個許可權(如EMR),部分產品有特殊的其它許可權(如OTS)。
| 序號 |
許可權策略名稱 |
說明 |
| 1 |
AliyunACMFullAccess |
管理應用配置管理(ACM)的許可權 |
| 2 |
AliyunAHASFullAccess |
管理應用高可用服務(AHAS)的許可權 |
| 3 |
AliyunApiGatewayFullAccess |
管理閘道器服務(ApiGateway)的許可權 |
| 4 |
AliyunApiGatewayReadOnlyAccess |
只讀訪問閘道器服務(ApiGateway)的許可權 |
| 5 |
AliyunBatchComputeFullAccess |
管理批量計算服務(BatchCompute)的許可權 |
| 6 |
AliyunCCCFullAccess |
管理雲呼叫中心(CCC)的許可權 |
| 7 |
AliyunCDNFullAccess |
管理CDN的許可權 |
| 8 |
AliyunCDNReadOnlyAccess |
只讀訪問CDN的許可權 |
| 9 |
AliyunCENFullAccess |
管理雲企業網(CEN)的許可權 |
| 10 |
AliyunCENReadOnlyAccess |
只讀訪問雲企業網(CEN)的許可權 |
| 11 |
AliyunChatbotFullAccess |
管理雲小蜜的許可權 |
| 12 |
AliyunCloudPhotoFullAccess |
管理智慧雲相簿(CloudPhoto)的許可權 |
| 13 |
AliyunCloudPhotoReadOnlyAccess |
只讀訪問智慧雲相簿(CloudPhoto)的許可權 |
| 14 |
AliyunCodePipelineFullAccess |
管理CodePipeline的許可權 |
| 15 |
AliyunCommonBandwidthPackageFullAccess |
管理共享頻寬的許可權 |
| 16 |
AliyunCommonBandwidthPackageReadOnlyAccess |
只讀訪問共享頻寬的許可權 |
| 17 |
AliyunContainerRegistryFullAccess |
管理容器映象服務(ContainerRegistry)的許可權 |
| 18 |
AliyunContainerRegistryReadOnlyAccess |
只讀訪問容器映象服務(ContainerRegistry)的許可權 |
| 19 |
AliyunCSFullAccess |
管理容器服務(CS)的許可權 |
| 20 |
AliyunDataWorksFullAccess |
管理DataWorks的許可權 |
| 21 |
AliyunDBSFullAccess |
管理資料庫備份服務(DBS)的許可權 |
| 22 |
AliyunDCDNFullAccess |
管理全站加速(DCDN)的許可權 |
| 23 |
AliyunDCDNReadOnlyAccess |
只讀訪問全站加速(DCDN)的許可權 |
| 24 |
AliyunDirectMailFullAccess |
管理郵件推送(DirectMail)的許可權 |
| 25 |
AliyunDirectMailReadOnlyAccess |
只讀訪問郵件推送(DirectMail)的許可權 |
| 26 |
AliyunDLAFullAccess |
管理Data Lake Analytics的許可權 |
| 27 |
AliyunDLAReadOnlyAccess |
只讀訪問Data Lake Analytics的許可權 |
| 28 |
AliyunDNSFullAccess |
管理雲解析(DNS)的許可權 |
| 29 |
AliyunDNSReadOnlyAccess |
只讀訪問雲解析(DNS)的許可權 |
| 30 |
AliyunDomainFullAccess |
管理域名服務的許可權 |
| 31 |
AliyunDRDSFullAccess |
管理分散式關係型資料庫服務(DRDS)的許可權 |
| 32 |
AliyunDRDSReadOnlyAccess |
只讀訪問分散式關係型資料庫服務(DRDS)的許可權 |
| 33 |
AliyunDTSFullAccess |
管理資料傳輸服務(DTS)的許可權 |
| 34 |
AliyunDTSReadOnlyAccess |
只讀訪問資料傳輸服務(DTS)的許可權 |
| 35 |
AliyunDycdpFullAccess |
管理流量服務(CDP)的許可權 |
| 36 |
AliyunDycdpReadOnlyAccess |
只讀訪問流量服務(CDP)的許可權 |
| 37 |
AliyunDyiotFullAccess |
管理物聯網絡卡服務的許可權 |
| 38 |
AliyunDyiotReadOnlyAccess |
只讀訪問物聯網絡卡的許可權 |
| 39 |
AliyunDyplsFullAccess |
管理私密專線(Private Line Service)的許可權 |
| 40 |
AliyunDyplsReadOnlyAccess |
只讀訪問私密專線(Private Line Service)的許可權 |
| 41 |
AliyunDypnsFullAccess |
管理號碼認證服務的許可權 |
| 42 |
AliyunDypnsReadOnlyAccess |
只讀訪問號碼認證服務的許可權 |
| 43 |
AliyunDysmsFullAccess |
管理簡訊服務(SMS)的許可權 |
| 44 |
AliyunDysmsReadOnlyAccess |
只讀訪問簡訊服務(SMS)的許可權 |
| 45 |
AliyunDyvmsFullAccess |
管理語音服務(VMS)的許可權 |
| 46 |
AliyunDyvmsReadOnlyAccess |
只讀訪問語音服務(VMS)的許可權 |
| 47 |
AliyunECIFullAccess |
管理彈性容器例項(ECI)的許可權 |
| 48 |
AliyunECIReadOnlyAccess |
|