最近更新时间:2024-04-22 11:06:01
角色机制是向您信任的实体进行授权的一种安全方法。根据不同应用场景,受信任的实体可能有:
您云账户下的一个子用户(可能是代表一个移动App的后端服务)
其他云账户中的子用户(需要进行跨账户的资源访问)
实例上运行的应用程序代码(需要对云资源执行操作)
某些金山云服务(需要对您账户中的资源进行操作才能提供服务)
角色需要由具体的实体进行扮演代入,而不是唯一地与某个人员关联。
角色没有关联的标准长期凭证(如密码或访问密钥),当具体实体扮演时,它会为您提供角色会话的临时安全凭证。
术语 | 说明 |
---|---|
角色 | 角色有确定的身份,可以被赋予一组权限策略,但没有确定的登录密码或访问密钥。角色需要被一个受信的实体用户扮演,扮演成功后实体用户将获得角色的安全令牌,使用这个安全令牌就能以角色身份访问被授权的资源。 |
角色KRN | 角色KRN是角色的全局资源描述符,用来指定具体角色。KRN遵循金山云KRN的命名规范。例如krn:ksc:iam::200****52:role/rolename。创建角色后,单击角色名后,可在基本信息页查看其KRN。 |
授信实体 | 角色的可授信实体是指可以扮演角色的实体用户身份。创建角色时必须指定授信实体,角色只能被授信的实体扮演。授信实体可以是云账号、云服务或身份提供商。 |
权限策略 | 一个角色可以绑定一组权限策略。没有绑定权限策略的角色也可以存在,但不能访问资源。 |
扮演角色 | 扮演角色是实体用户获取角色身份的安全令牌的方法。一个实体用户调用STS API AssumeRole可以获得角色的安全令牌,使用安全令牌可以访问云服务API。 |
切换身份 | 切换身份是在控制台中实体用户从当前登录身份切换到角色身份的方法。一个实体用户登录到控制台之后,可以切换到被许可扮演的某一种角色身份,然后以角色身份操作云资源。当用户不需要使用角色身份时,可以从角色身份切换回原来的登录身份。 |
角色令牌 | 角色令牌是角色身份的一种临时访问密钥。角色身份没有确定的访问密钥,当一个实体用户要使用角色时,必须通过扮演角色来获取对应的角色令牌,然后使用角色令牌来调用金山云服务API。 |
角色类型 | 说明 | 应用场景 |
---|---|---|
金山云账号 | 允许金山云账号和子用户扮演角色。可以是自己的金山云账号,也可以是其他金山云账号。 | 该类角色主要用于解决跨账号访问和临时授权问题。 |
金山云服务 | 允许云服务扮演的角色 | 该类角色主要用于解决跨云服务授权访问的问题。 |
身份提供商 | 允许身份提供商下的用户所扮演的角色。 | 该类角色主要用于实现与金山云的角色SSO |
通常情况下,建议您通过服务端调用API,尽可能保证访问密钥不被泄露。但是有些上传文件的场景可以采用客户端直传的形式,避免服务端中转带来的多余开销。此时,可以由服务端下发临时安全令牌,客户端通过临时安全令牌进行资源直传。
当您拥有多个金山云账号,例如:账号A和账号B,希望实现账号A访问账号B的指定资源。此时,您可以在账号B下创建可信实体为账号A的角色,并授权允许账号A下的某个子用户或角色可以扮演该角色,然后通过该角色访问账号B的指定资源。
在某些场景下,一个云服务为了完成自身的某个功能,需要获取其他云服务的访问权限。例如:配置审计服务要读取您的云资源信息,以获取资源列表和资源配置变更历史,就需要获取RDS等产品的访问权限。此时,您可以创建可信实体为金山云服务的角色解决该问题。推荐您优先使用服务关联角色,对于不支持服务关联角色的云服务,请使用普通服务角色。
金山云与企业进行角色SSO时,金山云是服务提供商,而企业自有的身份管理系统则是身份提供商。通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行金山云和企业IdP间的用户同步,企业员工将使用指定的角色登录金山云。此时,您可以创建可信实体为身份提供商的角色解决该问题。
使用金山云账号(主账号)或具有管理员权限的子用户登录IAM控制台。
创建角色。
为角色授权。
具体操作,请参见为角色授权。
可信实体通过控制台或调用API扮演角色并获取角色的安全令牌。
具体操作,请参见使用角色
可信实体通过角色身份访问被授权的云资源。
关于角色的使用限制,请参见使用限制
纯净模式