阿里云RAM访问控制功能特性使用场景详解

阿里云RAM访问控制能够为用户提供安全的集中管理阿里云服务和资源，用户可以使用RAM创建和管理用户和组，并限制用户允许或拒绝他们对云资源的访问，aliyunbaike.com网分享：

访问控制的核心场景

对阿里云资源进行精细访问控制

RAM 使您能够以更精细的粒度（eg, 资源对象级、API操作级）授予对云端资源的访问权限，帮助您的公司实施最小授权原则。您还可以根据请求源IP 地址、日期/时间、资源标签等属性创建更精细的资源访问控制策略，这些策略有助于确保在授予对云端资源的访问权限时运用适当的安全控制措施。

针对特权用户的多重验证

使用多因素认证(MFA)这项加强用户密码凭证的安全功能来保护您的云环境安全，无需额外支付费用。

与公司目录集成

利用 RAM内置的身份管理能力，您可以轻松创建或同步用户帐号。您可以直接在RAM中创建用户和组、配置多因素身份验证并设置密码安全策略。您也可以使用RAM提供的身份联合能力，将企业本地身份系统中(如 Microsoft Active Directory）的用户同步到RAM，并设置单点登录(SSO)。

管理移动端应用程序的访问控制

可以通过请求STS临时安全凭证 (这些凭证仅可授予对指定阿里云资源在可配置时限内的访问权限)，使您的移动版和基于浏览器的应用程序安全地访问阿里云资源。

管理云服务端应用程序的访问控制

可以通过配置计算型实例角色（如ECS实例角色、函数计算服务角色、MaxCompute角色），使您的运行在由阿里云管理的计算环境中的应用程序安全地访问阿里云资源。

访问控制的功能特性

集中式访问控制

RAM 为所有阿里云服务提供简单一致的集中式访问控制能力。用户只需学习一次，即可得心应手地管理所有阿里云资源。

精细的控制粒度

可以在资源级、操作级向用户授予访问权限，而非只能在资源组级授予访问权限。例如，您可以创建一个RAM 访问权限策略，向一个用户授予某一个ECS实例的“停机”权限。

基于条件的访问控制

根据请求源IP 地址、日期/时间、资源标签等属性创建更精细的资源访问控制策略。

丰富的权限策略

RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果您的授权业务比较特别，那么您还可以通过图形化工具快速地创建自定义权限策略。

易用的身份联合与单点登录

使用RAM提供的身份联合能力，通过同步工具将企业本地身份系统中的用户导入RAM，并设置单点登录(SSO)。

灵活的使用方式

可以使用多种方式来控制用户的访问权限：RAM控制台（图形界面）、RAM服务API（编程方式）或aliyuncli （命令行界面）

零费用

RAM向所有阿里云客户免费提供，无需额外付费。只需为您的用户所使用的其他云服务付费。

官方文档：

代金券：阿里云RAM访问控制官方详解