RAM (Resource Access Management) là gì?
RAM là một dịch vụ toàn cầu có thể được sử dụng ở tất cả các khu vực trên Đám mây của Alibaba. RAM được thiết kế với mặt phẳng điều khiển và mặt phẳng dữ liệu riêng biệt để đảm bảo độ sẵn sàng và độ tin cậy của dịch vụ tối đa trong các trường hợp không mong muốn (chẳng hạn như gián đoạn dịch vụ). Có một mặt phẳng điều khiển RAM cho tất cả các khu vực Đám mây Alibaba, được đặt tại Thượng Hải, Trung Quốc và một mặt phẳng dữ liệu cho mỗi khu vực Đám mây Alibaba. Dữ liệu tài nguyên để kiểm soát truy cập RAM, chẳng hạn như thông tin nhận dạng RAM (người dùng, nhóm và vai trò), thông tin xác thực (ID AccessKey và bí mật AccessKey, mã thông báo STS) và các chính sách, được gửi vào và lưu trữ an toàn trong mặt phẳng điều khiển thông qua các yêu cầu thay đổi (cả việc tạo và cập nhật), dữ liệu mặt phẳng điều khiển sau đó được sao chép và đồng bộ hóa với từng mặt phẳng dữ liệu. Mặt phẳng dữ liệu RAM của từng vùng thực hiện xác thực và ủy quyền cho các yêu cầu từ cùng một vùng. Thiết kế tách biệt giữa mặt phẳng điều khiển và mặt phẳng dữ liệu này mang lại tính khả dụng dịch vụ cao và hiệu suất truy cập tối ưu.
Quản lí người dùng RAM
Người dùng RAM là gì?
Danh tính vật lý có ID cố định và thông tin xác thực. Người dùng RAM đại diện cho một người hoặc một ứng dụng. Người dùng RAM có các đặc điểm sau:
- Người dùng RAM có thể được tạo bằng tài khoản Alibaba Cloud. Trong trường hợp này, người dùng RAM thuộc tài khoản Alibaba Cloud. Người dùng RAM cũng có thể được tạo bởi người dùng RAM hoặc vai trò RAM có quyền quản trị. Trong trường hợp này, người dùng RAM thuộc về tài khoản Alibaba Cloud tạo ra người dùng RAM hoặc vai trò RAM.
- Người dùng RAM không sở hữu tài nguyên. Phí sử dụng tài nguyên của người dùng RAM được tính vào tài khoản Alibaba Cloud mà người dùng RAM sở hữu. Người dùng RAM không nhận được hóa đơn riêng lẻ và không thể thực hiện thanh toán.
- Trước khi người dùng RAM có thể đăng nhập vào Bảng điều khiển quản lý đám mây của Alibaba hoặc thực hiện các hoạt động gọi điện, họ phải được tài khoản Alibaba Cloud ủy quyền. Sau khi người dùng RAM được cấp phép, người dùng RAM có thể truy cập các tài nguyên thuộc sở hữu của tài khoản Alibaba Cloud.
- Người dùng RAM có mật khẩu hoặc cặp AccessKey độc lập để đăng nhập.
- Tài khoản Alibaba Cloud có thể tạo nhiều người dùng RAM. Người dùng RAM có thể được sử dụng để đại diện cho nhân viên, hệ thống và ứng dụng trong doanh nghiệp.
Tạo vá gán quyền người dùng RAM
- Truy cập RAM console bằng tài khoản Alibaba Cloud account hoặc RAM user hoặc RAM có quyền Administrator.
- Tạo một RAM user mới.
- Cấu hình các thông số đăng nhập. Bạn có thể định cấu hình cả mật khẩu đăng nhập và cặp AccessKey cho người dùng RAM. Vì lý do bảo mật, chúng tôi khuyên bạn chỉ nên định cấu hình mật khẩu đăng nhập hoặc cặp AccessKey cho người dùng RAM để đảm bảo tính bảo mật. Nếu người dùng RAM là một ứng dụng, người dùng RAM phải gọi các thao tác để truy cập tài nguyên. Trong trường hợp này, bạn chỉ cần tạo cặp AccessKey cho người dùng RAM. Nếu người dùng RAM là nhân viên, người dùng RAM phải đăng nhập vào Bảng điều khiển quản lý đám mây của Alibaba để truy cập tài nguyên. Trong trường hợp này, bạn chỉ cần cấu hình mật khẩu đăng nhập cho người dùng RAM.
- Gán quyền cho người dùng RAM
- Sử dụng người dùng RAM để đăng nhập vào Alibaba Cloud Management Console hoặc bằng khóa AccessKey.
Quản lí nhóm người dùng RAM
Nhóm người dùng RAM
Nhóm người dùng là một danh tính vật lý có chứa nhiều người dùng RAM. Bạn có thể tạo nhóm người dùng RAM để phân loại và ủy quyền cho người dùng RAM. Điều này giúp đơn giản hóa việc quản lý người dùng RAM và quyền.
Tạo và gán quyền nhóm người dùng RAM
- Truy cập RAM console bằng tài khoản Alibaba Cloud account hoặc RAM user hoặc RAM có quyền Administrator.
- Tạo nhóm người dùng.
- Thêm người dùng RAM hoặc xóa người dùng vào nhóm.
- Gán quyền cho nhóm người dùng RAM
Các quyền hạn, vai trò trong RAM
Vai trò trong RAM là gì?
Vai trò RAM là một danh tính ảo mà các chính sách có thể được đính kèm. Vai trò RAM không có thông tin xác thực nhận dạng vĩnh viễn, chẳng hạn như mật khẩu đăng nhập hoặc cặp AccessKey. Vai trò RAM chỉ có thể được sử dụng sau khi vai trò đó được đảm nhận bởi một thực thể đáng tin cậy. Sau khi vai trò RAM được đảm nhận bởi một thực thể đáng tin cậy, thực thể đáng tin cậy đó có thể nhận được mã thông báo Dịch vụ mã thông báo bảo mật (STS). Sau đó, thực thể đáng tin cậy có thể sử dụng mã thông báo STS để truy cập tài nguyên Đám mây của Alibaba dưới dạng vai trò RAM.
Các loại vai trò
- RAM role whose trusted entity is an Alibaba Cloud account: Người dùng RAM trong tài khoản Alibaba Cloud có thể đảm nhận loại vai trò RAM này. Người dùng RAM đảm nhận loại vai trò RAM này có thể thuộc về tài khoản Alibaba Cloud của chủ sở hữu hoặc các tài khoản Alibaba Cloud khác. Loại vai trò RAM này được sử dụng để truy cập nhiều tài khoản và ủy quyền tạm thời.
- RAM role whose trusted entity is an Alibaba Cloud service: Các dịch vụ của Alibaba Cloud có thể đảm nhận loại vai trò RAM này. Các vai trò RAM mà dịch vụ Đám mây Alibaba đáng tin cậy có thể đảm nhận được phân thành hai loại: vai trò dịch vụ thông thường và vai trò liên kết dịch vụ. Để biết thêm thông tin về các vai trò liên kết với dịch vụ, hãy xem các vai trò liên kết với dịch vụ. Loại vai trò RAM này được sử dụng để cấp quyền truy cập trên các dịch vụ của Alibaba Cloud.
- RAM role whose trusted entity is an identity provider (IdP): Người dùng IdP đáng tin cậy có thể đảm nhận loại vai trò RAM này. Loại vai trò RAM này được sử dụng để triển khai đăng nhập một lần (SSO) dựa trên vai trò giữa Alibaba Cloud và IdP đáng tin cậy.
Các giới hạn trong RAM
| Danh mục | Mô tả | Giới hạn |
| RAM user | Số lượng người dùng RAM có thể được tạo trong tài khoản Alibaba Cloud | 5000 |
| Số ký tự mà tên người dùng RAM có thể chứa | 64 | |
| Số nhóm người dùng RAM tối đa mà người dùng RAM có thể được thêm vào | 10 | |
| Số cặp Access Key mà người dùng RAM có thể tạo | 2 | |
| Số lượng thiết bị xác thực đa yếu tố (MFA) có thể được liên kết với người dùng RAM | 1 | |
| Số lượng chính sách hệ thống có thể được gắn với người dùng RAM | 20 | |
| Số lượng chính sách tùy chỉnh có thể được đính kèm với người dùng RAM | 10 | |
| Số lượng thẻ có thể được thêm vào người dùng RAM | 20 | |
| RAM user group | Số lượng nhóm người dùng RAM có thể được tạo trong tài khoản Alibaba Cloud | 300 |
| Số ký tự mà tên nhóm người dùng RAM có thể chứa | 64 | |
| Số lượng chính sách hệ thống có thể được gắn vào nhóm người dùng RAM | 20 | |
| Số lượng chính sách tùy chỉnh có thể được gắn vào nhóm người dùng RAM | 10 | |
| RAM role | Số lượng vai trò RAM có thể được tạo trong tài khoản Alibaba Cloud | 1000 |
| Số lượng ký tự mà tên của vai trò RAM có thể chứa | 64 | |
| Số lượng chính sách hệ thống có thể gắn với vai trò RAM | 20 | |
| Số lượng chính sách tùy chỉnh có thể được gắn vào vai trò RAM | 10 | |
| Default domain name. | Số ký tự có thể chứa trong một tên miền mặc định (bao gồm cả hậu tố). | 64 |
| Policy | Số ký tự mà tên của chính sách có thể chứa | 128 |
| Multi-factor authentication (MFA) | Số lượng thiết bị MFA ảo hoặc khóa bảo mật U2F có thể được tạo trong tài khoản Alibaba Cloud | 1000 |
| Custom policy | Số lượng chính sách tùy chỉnh có thể được tạo trong tài khoản Alibaba Cloud | 1500 |
| Số ký tự mà chính sách tùy chỉnh có thể chứa | 6144 | |
| Số lượng phiên bản mà chính sách tùy chỉnh có thể có | 5 | |
| Identity provider (IdP) | Số lượng IdP Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) có thể được tạo trong tài khoản Đám mây của Alibaba | 100 |
| Số lượng bộ mô tả SAML IdP mà tệp siêu dữ liệu IdP có thể chứa | 1 | |
| Số lượng chứng chỉ mà bộ mô tả IdP trong tệp siêu dữ liệu IdP có thể chứa | 2 | |
| Số lượng IdP OpenID Connect (OIDC) có thể được tạo trong tài khoản Alibaba Cloud | 100 | |
| Số lượng ID khách hàng có thể được thêm vào IdP OIDC | 20 | |
| Số lượng dấu vân tay có thể được thêm vào OIDC IdP | 5 |
Qua bài viết này, mong các bạn sẽ hiểu hơn về thuật ngữ RAM trong Alibaba Cloud!
0 Lời bình