【阿里云】访问控制

RAM 使您能够安全地集中管理对阿里云服务和资源的访问。您可以使用 RAM 创建和管理用户和组，并使用各种权限来允许或拒绝他们对云资源的访问。

访问控制的核心场景

对阿里云资源进行精细访问控制
RAM 使您能够以更精细的粒度（eg, 资源对象级、API操作级）授予对云端资源的访问权限，帮助您的公司实施最小授权原则。您还可以根据请求源IP 地址、日期/时间、资源标签等属性创建更精细的资源访问控制策略，这些策略有助于确保在授予对云端资源的访问权限时运用适当的安全控制措施。

针对特权用户的多重验证
使用多因素认证(MFA)这项加强用户密码凭证的安全功能来保护您的云环境安全，无需额外支付费用。

企业自有账号的联合登录
您可以使用RAM提供的两种身份联合能力，通过设置单点登录(SSO)，使企业本地身份系统中的用户直接登录到对应创建的RAM用户身份，抑或登录到RAM的角色身份。您也可以使用RAM的身份管理能力，直接在RAM中创建用户和组、配置多因素身份验证并设置密码安全策略。

管理移动端应用程序的访问控制
可以通过请求STS临时安全凭证 (这些凭证仅可授予对指定阿里云资源在可配置时限内的访问权限)，使您的移动版和基于浏览器的应用程序安全地访问阿里云资源。

管理云服务端应用程序的访问控制
可以通过配置计算型实例角色（如ECS实例角色、函数计算服务角色、MaxCompute角色），使您的运行在由阿里云管理的计算环境中的应用程序安全地访问阿里云资源。

集中式访问控制
RAM 为所有阿里云服务提供简单一致的集中式访问控制能力。用户只需学习一次，即可得心应手地管理所有阿里云资源。

精细的控制粒度
可以在资源级、操作级向用户授予访问权限，而非只能在资源组级授予访问权限。例如，您可以创建一个RAM 访问权限策略，向一个用户授予某一个ECS实例的“停机”权限。

基于条件的访问控制
根据请求源IP 地址、日期/时间、资源标签等属性创建更精细的资源访问控制策略。

丰富的权限策略
RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果您的授权业务比较特别，那么您还可以通过图形化工具快速地创建自定义权限策略。

易用的身份联合与单点登录
使用RAM提供的身份联合能力，通过将企业本地身份系统中的用户导入RAM，并设置单点登录(SSO)。

灵活的使用方式
可以使用多种方式来控制用户的访问权限：RAM控制台（图形界面）、RAM服务API（编程方式）或aliyuncli （命令行界面）

零费用
RAM向所有阿里云客户免费提供，无需额外付费。只需为您的用户所使用的其他云服务付费。

更多产品与服务

密钥管理服务
密钥管理服务（KeyManagementService）是一款安全易用的管理类服务。您无需花费大量成本来保护密钥的保密性、完整性和可用性，借助密钥管理服务，您可以安全、便捷的使用密钥，专注于开发您需要的加解密功能场景。

操作审计
操作审计(ActionTrail)会记录您的云账户资源操作，提供操作记录查询，并可以将审计事件保存到您指定的日志服务Logstore或者OSS存储空间。利用ActionTrail保存的所有操作记录，您可以实现安全分析、资源变更追踪以及合规性审计。