阿里云身份管理与资源访问控制入门 - 子账号登录

像阿里云这样的大型公有云平台, 通常都提供了很多的云计算资源, 一定规模的企业用户会有多个工作人员需要管理不同的资源, 此时如果仍然使用单一账号来进行操作, 不符合信息安全的要求. 阿里云提供了"访问控制"服务, 提供简单的用户身份管理和丰富的资源访问管理的功能, 可以创建多个用户. 用户可以属于不同的用户组, 用户或组可以赋予不同的访问控制策略, 从而帮助企业客户实施简单的账号管理和安全的访问控制.

值得一提的是, 身份与访问控制管理一般简称为IAM, 即 Identity and Access Management. 不过, 在阿里云, 它被称为 RAM, 即 Resource Access Management, 强调了以云计算资源为中心的访问控制模型. 只是这个简写通常是计算机内存的简写, 第一眼看起来让人困惑.

阿里云提供了一个5分钟左右的视频, 介绍了"访问控制"服务的简单操作, 非常易懂. 其产品概述链接为 https://www.aliyun.com/product/ram

本博文是作者在观看了上述链接中的视频简介, 开通了个人账号的"访问控制"服务, 初步实验以后所做的笔记.

引入了访问控制模型以后, 原来的账号(创始账号)就成了组织的超级账号(主账号), 是该账号下资源的唯一所有者, 依然可以像往常一样操作. 在此组织之下创建的用户(子账号), 其控制台登录链接是专门为该组织创建的.

比如, 我有一个阿里云的账号, 启用了访问控制以后, 系统会提示我的组织用户登录链接为

https://signin.aliyun.com/1*****876/login.htm

我们可以给这个账号组织一个别名, 比如 027yunwei, 则登录链接变为

https://signin.aliyun.com/027yunwei/login.htm

假如我增加了一个用户 wanggan, 授予了该用户访问控制台的权限, 并赋予其资源访问权限(比如管理虚拟机的权限). 则我可以使用该用户登录,

用户名

wanggan@027yunwei

密码

******

如果我启用了多因素验证(MFA)功能, 则还需要输入OTP code

12***6

登录以后所看到的界面与主账号基本一样, 具体的功能是否可访问则与该子账号的授权有关.