什么是实例 RAM 角色
ECS 实例 RAM(Resource Access Management) 角色(以下简称 实例 RAM 角色)是 RAM 角色的一种,它让 ECS 实例扮演具有某些权限的角色,从而赋予实例一定的访问权限。
实例 RAM 角色允许您将一个 角色 关联到 ECS 实例,在实例内部基于 STS (Security Token Service)临时凭证(临时凭证将周期性更新)访问其他云产品的 API。这样,一方面可以保证 AccessKey 安全,另一方面也可以借助 RAM 实现权限的精细化控制和管理。
设计背景
一般情况下,ECS 实例的应用程序是通过 用户账号 或者 用户 的 AccessKey (AccessKeyId + AccessKeySecret)访问阿里云各产品的 API。
为了满足调用需求,需要直接把 AccessKey 固化在实例中,如写在配置文件中。但是这种方式存在权限过大、泄露信息和难以维护等问题。因此,我们设计了实例 RAM 角色解决这些问题。
功能优势
使用实例 RAM 角色,您可以:
借助实例 RAM 角色,将 角色 和 ECS 实例关联起来。
安全地在 ECS 实例中使用 STS 临时凭证访问阿里云的其他云服务,如 OSS、ECS、RDS 等。
为不同的实例赋予包含不同授权策略的角色,使它们对不同的云资源具有不同的访问权限,实现更精细粒度的权限控制。
无需自行在实例中保存 AccessKey,通过修改角色的授权即可变更权限,快捷地维护 ECS 实例所拥有的访问权限。
费用详情
云服务器 ECS 不对实例 RAM 角色收取额外的费用。
使用限制
使用实例 RAM 角色存在如下限制:
只有专有网络 (VPC) 网络类型的实例才能使用实例角色。
一个 ECS 实例一次只能授予一个实例 RAM 角色。
使用实例 RAM 角色
目前有两种使用 RAM 角色的方式:
参考链接
您可以参阅文档 支持 RAM 的云服务 查看支持 STS 临时凭证的云服务。
您可以参阅文档 借助实例 RAM 角色访问其它云产品 API 查看如何访问其他云产品的 API 。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
