实例RAM角色允许您将一个角色关联到ECS实例,在实例内部基于STS(Security Token Service)临时凭证访问其他云产品的API,临时凭证将周期性更新。即可以保证云账号AccessKey安全,还可以借助访问控制RAM实现精细化控制和权限管理。
应用场景
ECS实例上部署的应用程序在云产品通信中,通过云账号或者RAM用户的AccessKey访问阿里云其他云产品(例如OSS、VPC、RDS等)的API。为了方便和快速地调用,部分用户直接把AccessKey固化在实例中,如写在配置文件中。这种方式存在权限过高、泄露信息和难以维护等问题。实例RAM角色能避免此类问题,例如在ECS实例中使用STS临时凭证访问阿里云的其他云服务。
ECS实例RAM(Resource Access Management)角色让ECS实例扮演具有某些权限的角色,从而赋予实例一定的访问权限。关于角色的详细描述,请参见RAM角色概览。
功能优势
使用实例RAM角色,您可以:
- 借助实例RAM角色,将角色和ECS实例关联起来。
- 使用STS临时凭证访问阿里云的其他云服务。
- 为不同的实例赋予包含不同授权策略的角色,使它们对不同的云资源具有不同的访问权限,实现更精细粒度的权限控制。
- 无需自行在实例中保存AccessKey,通过修改角色的授权即可变更权限,快捷地维护ECS实例所拥有的访问权限。
计费详情
赋予云服务器ECS实例RAM角色不会产生额外的费用。
使用限制
使用实例RAM角色存在如下限制:
- 实例的网络类型必须是专有网络VPC。
- 一台ECS实例一次只能授予一个实例RAM角色。
相关链接
- 如果您要了解支持STS临时凭证的云服务,请参见支持RAM的云服务。
- 如果您要了解如何访问其他云产品的API,请参见借助于实例RAM角色访问其他云产品。
- 如果您要获取临时授权Token的相关信息,请参见获取临时授权Token。