RAM là gì? Tại sao nên sử dụng?

Comments

RAM (Resource Access Management) là gì?

RAM là một dịch vụ toàn cầu có thể được sử dụng ở tất cả các khu vực trên Đám mây của Alibaba. RAM được thiết kế với mặt phẳng điều khiển và mặt phẳng dữ liệu riêng biệt để đảm bảo độ sẵn sàng và độ tin cậy của dịch vụ tối đa trong các trường hợp không mong muốn (chẳng hạn như gián đoạn dịch vụ). Có một mặt phẳng điều khiển RAM cho tất cả các khu vực Đám mây Alibaba, được đặt tại Thượng Hải, Trung Quốc và một mặt phẳng dữ liệu cho mỗi khu vực Đám mây Alibaba. Dữ liệu tài nguyên để kiểm soát truy cập RAM, chẳng hạn như thông tin nhận dạng RAM (người dùng, nhóm và vai trò), thông tin xác thực (ID AccessKey và bí mật AccessKey, mã thông báo STS) và các chính sách, được gửi vào và lưu trữ an toàn trong mặt phẳng điều khiển thông qua các yêu cầu thay đổi (cả việc tạo và cập nhật), dữ liệu mặt phẳng điều khiển sau đó được sao chép và đồng bộ hóa với từng mặt phẳng dữ liệu. Mặt phẳng dữ liệu RAM của từng vùng thực hiện xác thực và ủy quyền cho các yêu cầu từ cùng một vùng. Thiết kế tách biệt giữa mặt phẳng điều khiển và mặt phẳng dữ liệu này mang lại tính khả dụng dịch vụ cao và hiệu suất truy cập tối ưu.

Quản lí người dùng RAM

Người dùng RAM là gì?

Danh tính vật lý có ID cố định và thông tin xác thực. Người dùng RAM đại diện cho một người hoặc một ứng dụng. Người dùng RAM có các đặc điểm sau:

  • Người dùng RAM có thể được tạo bằng tài khoản Alibaba Cloud. Trong trường hợp này, người dùng RAM thuộc tài khoản Alibaba Cloud. Người dùng RAM cũng có thể được tạo bởi người dùng RAM hoặc vai trò RAM có quyền quản trị. Trong trường hợp này, người dùng RAM thuộc về tài khoản Alibaba Cloud tạo ra người dùng RAM hoặc vai trò RAM.
  • Người dùng RAM không sở hữu tài nguyên. Phí sử dụng tài nguyên của người dùng RAM được tính vào tài khoản Alibaba Cloud mà người dùng RAM sở hữu. Người dùng RAM không nhận được hóa đơn riêng lẻ và không thể thực hiện thanh toán.
  • Trước khi người dùng RAM có thể đăng nhập vào Bảng điều khiển quản lý đám mây của Alibaba hoặc thực hiện các hoạt động gọi điện, họ phải được tài khoản Alibaba Cloud ủy quyền. Sau khi người dùng RAM được cấp phép, người dùng RAM có thể truy cập các tài nguyên thuộc sở hữu của tài khoản Alibaba Cloud.
  • Người dùng RAM có mật khẩu hoặc cặp AccessKey độc lập để đăng nhập.
  • Tài khoản Alibaba Cloud có thể tạo nhiều người dùng RAM. Người dùng RAM có thể được sử dụng để đại diện cho nhân viên, hệ thống và ứng dụng trong doanh nghiệp.

Tạo vá gán quyền người dùng RAM

  1. Truy cập RAM console bằng tài khoản Alibaba Cloud account hoặc RAM user hoặc RAM có quyền Administrator.
  2. Tạo một RAM user mới.
  3. Cấu hình các thông số đăng nhập. Bạn có thể định cấu hình cả mật khẩu đăng nhập và cặp AccessKey cho người dùng RAM. Vì lý do bảo mật, chúng tôi khuyên bạn chỉ nên định cấu hình mật khẩu đăng nhập hoặc cặp AccessKey cho người dùng RAM để đảm bảo tính bảo mật. Nếu người dùng RAM là một ứng dụng, người dùng RAM phải gọi các thao tác để truy cập tài nguyên. Trong trường hợp này, bạn chỉ cần tạo cặp AccessKey cho người dùng RAM. Nếu người dùng RAM là nhân viên, người dùng RAM phải đăng nhập vào Bảng điều khiển quản lý đám mây của Alibaba để truy cập tài nguyên. Trong trường hợp này, bạn chỉ cần cấu hình mật khẩu đăng nhập cho người dùng RAM.
  4. Gán quyền cho người dùng RAM
  5. Sử dụng người dùng RAM để đăng nhập vào Alibaba Cloud Management Console hoặc bằng khóa AccessKey.

Quản lí nhóm người dùng RAM

Nhóm người dùng RAM

Nhóm người dùng là một danh tính vật lý có chứa nhiều người dùng RAM. Bạn có thể tạo nhóm người dùng RAM để phân loại và ủy quyền cho người dùng RAM. Điều này giúp đơn giản hóa việc quản lý người dùng RAM và quyền.

Tạo và gán quyền nhóm người dùng RAM

  1. Truy cập RAM console bằng tài khoản Alibaba Cloud account hoặc RAM user hoặc RAM có quyền Administrator.
  2. Tạo nhóm người dùng.
  3. Thêm người dùng RAM hoặc xóa người dùng vào nhóm.
  4. Gán quyền cho nhóm người dùng RAM

Các quyền hạn, vai trò trong RAM

Vai trò trong RAM là gì?

Vai trò RAM là một danh tính ảo mà các chính sách có thể được đính kèm. Vai trò RAM không có thông tin xác thực nhận dạng vĩnh viễn, chẳng hạn như mật khẩu đăng nhập hoặc cặp AccessKey. Vai trò RAM chỉ có thể được sử dụng sau khi vai trò đó được đảm nhận bởi một thực thể đáng tin cậy. Sau khi vai trò RAM được đảm nhận bởi một thực thể đáng tin cậy, thực thể đáng tin cậy đó có thể nhận được mã thông báo Dịch vụ mã thông báo bảo mật (STS). Sau đó, thực thể đáng tin cậy có thể sử dụng mã thông báo STS để truy cập tài nguyên Đám mây của Alibaba dưới dạng vai trò RAM.

Các loại vai trò

  • RAM role whose trusted entity is an Alibaba Cloud account: Người dùng RAM trong tài khoản Alibaba Cloud có thể đảm nhận loại vai trò RAM này. Người dùng RAM đảm nhận loại vai trò RAM này có thể thuộc về tài khoản Alibaba Cloud của chủ sở hữu hoặc các tài khoản Alibaba Cloud khác. Loại vai trò RAM này được sử dụng để truy cập nhiều tài khoản và ủy quyền tạm thời.
  • RAM role whose trusted entity is an Alibaba Cloud service: Các dịch vụ của Alibaba Cloud có thể đảm nhận loại vai trò RAM này. Các vai trò RAM mà dịch vụ Đám mây Alibaba đáng tin cậy có thể đảm nhận được phân thành hai loại: vai trò dịch vụ thông thường và vai trò liên kết dịch vụ. Để biết thêm thông tin về các vai trò liên kết với dịch vụ, hãy xem các vai trò liên kết với dịch vụ. Loại vai trò RAM này được sử dụng để cấp quyền truy cập trên các dịch vụ của Alibaba Cloud.
  • RAM role whose trusted entity is an identity provider (IdP): Người dùng IdP đáng tin cậy có thể đảm nhận loại vai trò RAM này. Loại vai trò RAM này được sử dụng để triển khai đăng nhập một lần (SSO) dựa trên vai trò giữa Alibaba Cloud và IdP đáng tin cậy.

Các giới hạn trong RAM

Danh mụcMô tảGiới hạn
RAM userSố lượng người dùng RAM có thể được tạo trong tài khoản Alibaba Cloud5000
Số ký tự mà tên người dùng RAM có thể chứa64
Số nhóm người dùng RAM tối đa mà người dùng RAM có thể được thêm vào10
Số cặp Access Key mà người dùng RAM có thể tạo2
Số lượng thiết bị xác thực đa yếu tố (MFA) có thể được liên kết với người dùng RAM1
Số lượng chính sách hệ thống có thể được gắn với người dùng RAM20
Số lượng chính sách tùy chỉnh có thể được đính kèm với người dùng RAM10
Số lượng thẻ có thể được thêm vào người dùng RAM20
RAM user groupSố lượng nhóm người dùng RAM có thể được tạo trong tài khoản Alibaba Cloud300
Số ký tự mà tên nhóm người dùng RAM có thể chứa64
Số lượng chính sách hệ thống có thể được gắn vào nhóm người dùng RAM20
Số lượng chính sách tùy chỉnh có thể được gắn vào nhóm người dùng RAM10
RAM roleSố lượng vai trò RAM có thể được tạo trong tài khoản Alibaba Cloud1000
Số lượng ký tự mà tên của vai trò RAM có thể chứa64
Số lượng chính sách hệ thống có thể gắn với vai trò RAM20
Số lượng chính sách tùy chỉnh có thể được gắn vào vai trò RAM10
Default domain name.Số ký tự có thể chứa trong một tên miền mặc định (bao gồm cả hậu tố).64
PolicySố ký tự mà tên của chính sách có thể chứa128
Multi-factor authentication (MFA)Số lượng thiết bị MFA ảo hoặc khóa bảo mật U2F có thể được tạo trong tài khoản Alibaba Cloud1000
Custom policySố lượng chính sách tùy chỉnh có thể được tạo trong tài khoản Alibaba Cloud1500
Số ký tự mà chính sách tùy chỉnh có thể chứa6144
Số lượng phiên bản mà chính sách tùy chỉnh có thể có5
Identity provider (IdP)Số lượng IdP Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) có thể được tạo trong tài khoản Đám mây của Alibaba100
Số lượng bộ mô tả SAML IdP mà tệp siêu dữ liệu IdP có thể chứa1
Số lượng chứng chỉ mà bộ mô tả IdP trong tệp siêu dữ liệu IdP có thể chứa2
Số lượng IdP OpenID Connect (OIDC) có thể được tạo trong tài khoản Alibaba Cloud100
Số lượng ID khách hàng có thể được thêm vào IdP OIDC20
Số lượng dấu vân tay có thể được thêm vào OIDC IdP5

Qua bài viết này, mong các bạn sẽ hiểu hơn về thuật ngữ RAM trong Alibaba Cloud!

TRƯƠNG THÁI KIỆT

TRƯƠNG THÁI KIỆT

https://thaikiet.com

thaikiet.com là nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Mạng Máy Tính, Quản Trị Hệ Thống và Bảo Mật. Với tiêu chí là cùng chia sẽ cùng thành công!

Mail: [email protected]

Bài viết cùng chuyên mục

Tạo ECS trên Alibaba Cloud

Tạo ECS trên Alibaba Cloud

Bài viết này, tôi sẽ hướng dẫn các bạn các tạo ECS trên Alibaba Cloud đơn giản nhhất. Truy cập trang Custom Launch với tài khoản Alibaba Cloud. Cấu hình thông tin cơ bản cho ECS (Chọn cấu hình, chọn...

Bảo vệ tài khoản Alibaba Cloud an toàn hơn

Bảo vệ tài khoản Alibaba Cloud an toàn hơn

Bài viết này sẽ giúp các bạn 1 số thủ thuật để đảm bảo tài khoản Alibaba của bạn được an toàn hơn khi sử dụng. Xác thực đa yếu tố Tôi sẽ sử dụng ứng dụng Google Authenticator làm ví dụ để mô tả cách...

Database Services của Alibaba

Database Services của Alibaba

ApsaraDB RDS là gì? ApsaraDB RDS là dịch vụ cơ sở dữ liệu trực tuyến ổn định, đáng tin cậy và có thể mở rộng, được xây dựng dựa trên Hệ thống tệp phân tán Apsara và ổ SSD hiệu suất cao. ApsaraDB RDS...

0 Comments

0 Lời bình

Gửi Lời bình

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

three × four =