Comment ECS accorde-t-il certains droits d'accès aux instances - rôle RAM

Le contenu de cet article explique comment ECS donne certains droits d'accès aux instances. Il a une certaine valeur de référence. Les amis dans le besoin peuvent s'y référer. J'espère qu'il vous sera utile.

Qu'est-ce qu'un rôle RAM d'instance ?

Le rôle RAM d'instance ECS (Resource Access Management) (ci-après appelé rôle RAM d'instance) est un type de rôle RAM, qui permet à l'ECS instance pour agir comme une instance avec certaines autorisations, accordant ainsi certains droits d'accès à l'instance.

Le rôle RAM d'instance vous permet d'associer un rôle à une instance ECS et d'accéder aux API d'autres produits cloud basés sur les informations d'identification temporaires STS (Security Token Service) à l'intérieur de l'instance (les informations d'identification temporaires seront mises à jour périodiquement) . De cette manière, d'une part, la sécurité d'AccessKey peut être assurée et, d'autre part, la RAM peut être utilisée pour obtenir un contrôle et une gestion raffinés des autorisations.

Arrière-plan de conception

Généralement, les applications d'instance ECS accèdent à Alibaba via le compte utilisateur ou les API AccessKey (AccessKeyId + AccessKeySecret) de l'utilisateur pour chaque cloud produit.

Afin de répondre aux exigences d'appel, l'AccessKey doit être solidifiée directement dans l'instance, comme écrit dans le fichier de configuration. Cependant, cette méthode présente des problèmes tels que des autorisations excessives, des fuites d’informations et des difficultés de maintenance. Par conséquent, nous avons conçu le rôle RAM de l'instance pour résoudre ces problèmes.

Avantages fonctionnels

En utilisant les rôles RAM d'instance, vous pouvez :

Avec les rôles RAM d'instance, vous pouvez combiner des rôles et Instances ECS Relation.

Utilisez en toute sécurité les informations d'identification temporaires STS dans les instances ECS pour accéder à d'autres services cloud Alibaba Cloud, tels que OSS, ECS, RDS, etc.

Attribuez des rôles avec différentes politiques d'autorisation à différentes instances afin qu'elles disposent de droits d'accès différents à différentes ressources cloud afin d'obtenir un contrôle des autorisations plus précis.

Il n'est pas nécessaire d'enregistrer la AccessKey dans l'instance. Vous pouvez modifier les autorisations en modifiant l'autorisation du rôle, et conserver rapidement les autorisations d'accès détenues par l'instance ECS.

Détails des frais

Cloud Server ECS ne facture pas de frais supplémentaires pour les rôles RAM d'instance.

Restrictions d'utilisation

Il existe les restrictions suivantes concernant l'utilisation du rôle RAM de l'instance :

Uniquement réseau dédié (VPC) type de réseau Seules les instances peuvent utiliser des rôles d'instance.

Une instance ECS ne peut se voir attribuer le rôle RAM qu'à une seule instance à la fois.

Utiliser les rôles RAM d'instance

Il existe actuellement deux façons d'utiliser les rôles RAM :

Utiliser la RAM d'instance via la console Rôle

Utiliser la RAM de l'instance via l'API Rôle

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!