阿里雲RAM

RAM (Resource Access Management) 是阿里雲提供的資源訪問控制服務。RAM用戶是表明任意的經過控制檯或OpenAPI操做阿里雲資源的人、系統或應用程序。RAM容許您在雲帳號下建立並管理多個用戶，每一個用戶都有惟一的用戶名、登陸密碼或訪問密鑰。
雲帳戶與RAM用戶是一種主子關係。
雲帳戶(主帳號)：
1）阿里雲資源歸屬、資源使用計量計費的基本主體
RAM用戶(子帳號)：
1）只能存在於某個雲帳戶下的RAM實例中
2）不擁有資源，在被受權操做時所建立的資源歸屬於主帳戶
3）RAM用戶不擁有帳單，被受權操做時所發生的費用也計入主帳戶帳單。

用戶羣組：
若是多個用戶的工做職責相同，經過建立羣組的方式來進行用戶權限管理。
角色：

1）子用戶和角色均可以指定一個受權策略，用來講明這個子用戶或角色可以訪問雲資源的權限。
2）子用戶，在RAM中能夠爲一個子用戶設置密碼和AccessKey， 而後經過用戶名或密碼來以這個子用戶的身份登陸阿里雲管理控制檯； 或者使用這個子用戶的AccessKey，以這個子用戶的身份訪問阿里雲OpenAPI。
3）角色，不能夠設置密碼和AccessKey，可是能夠設置可信實體。 您能夠在可信實體中定義哪些雲服務或哪些雲賬號下的子用戶能夠扮演此角色，既以此角色的身份和權限來訪問您的雲資源。
受權策略：
1）受權策略是一組權限的集合，它以一種策略語言來描述。經過給用戶或羣組附加受權策略，用戶或羣組中的全部用戶就能得到受權策略中指定的訪問權限。2）支持兩種類型的受權策略：系統受權策略和客戶自定義受權策略。
3）支持策略版本管理，一個受權策略有多個版本可使用。
受權訪問場景：

1）直接使用雲帳號訪問資源
2）使用RAM用戶訪問資源
3）使用STS令牌訪問資源
STS：
阿里雲STS (Security Token Service) 是爲阿里雲帳號（或RAM用戶）提供短時間訪問權限管理的雲服務。經過STS，您能夠爲聯盟用戶（您的本地帳號系統所管理的用戶）頒發一個自定義時效和訪問權限的訪問憑證(token令牌)。聯盟用戶可使用STS短時間訪問憑證直接調用阿里雲服務API，或登陸阿里雲管理控制檯操做被受權訪問的資源。
簽名：
RAM服務會對每一個訪問的請求進行身份驗證，因此不管使用HTTP仍是HTTPS協議提交請求，都須要在請求中包含簽名（Signature）信息。RAM經過使用Access Key ID和Access Key Secret進行對稱加密的方法來驗證請求的發送者身份。Access Key ID和Access Key Secret由阿里雲官方頒發給訪問者（能夠經過阿里雲官方網站申請和管理），其中Access Key ID用於標識訪問者的身份；Access Key Secret是用於加密簽名字符串和服務器端驗證簽名字符串的密鑰，必須嚴格保密，只有阿里雲和用戶知道。