Ali 访问控制 RAM 用户身份

Ali 访问控制 RAM 用户身份
2018/11/13 Chenxin
参考:
https://help.aliyun.com/product/28625.html?spm=a2c4g.11186623.6.540.6d391789KyV4qm
子账号登陆url:
https://signin.aliyun.com/taihe/login.htm?callback=https%3A%2F%2Fecs-eu-central-1.console.aliyun.com%2F

概念
云账户（主账户）
我们有时称它为 根账户 或 主账户
云账户别名（Alias）
云账号 admin@abc.com 为自己设置一个别名为 abc.com，那么其名下的 RAM 用户 alice 成功登录后，显示名就是 alice@abc.com
RAM 用户
RAM 用户不拥有资源，没有独立的计量计费，这些用户由所属云账户统一控制和付费。
RAM-Role
与普通 RAM 用户的差别主要在使用方法上，RAM 角色需要被一个授信的实体用户扮演，扮演成功后实体用户将获得 RAM 角色的临时安全令牌，使用这个临时安全令牌就能以角色身份访问被授权的资源。
RAM-Role 的扮演与切换：从登录身份切换到角色身份（SwitchRole）：一个实体用户（比如 RAM-User）登录到控制台后，可以选择 切换到某个角色，前提是这个实体用户已经被关联了角色。
资源（Resource）
格式 acs::::
acs: Alibaba Cloud Service
service-name: 如 ecs, oss, odps 等。
region: 地区信息。如果不支持该项，可以使用通配符“*”号来代替。
account-id: 账号 ID，比如 1234567890123456。
resource-relative-id: 与 service 相关的资源描述部分，其语义由具体 service 指定。
acs:oss::1234567890123456:sample_bucket/file1.txt 表示公有云平台 OSS 资源，OSS 对象名称是 sample_bucket/file1.txt，对象的 Owner 是 1234567890123456
额外:AWS的ARN
arn:aws:rds:us-east-1:651544429366:db:xlog
授权策略（Policy）
参考<<Policy语法结构>> https://help.aliyun.com/document_detail/28664.html?spm=a2c4g.11186623.2.17.1d4c3082gTrD1j
授权策略是描述权限集的一种简单语言规范。跟aws的policy类似.
切换身份（SwitchRole）
是在控制台中实体用户从当前登录身份切换到角色身份的方法。
一个实体用户登录到控制台之后，可以切换到被许可扮演的某一种角色身份，然后以角色身份操作云资源。切换到角色身份后，原实体用户身份的访问权限将被屏蔽。
用户不需要使用角色身份时，可以从角色身份切换回原来的登录身份。
角色令牌是角色身份的一种临时访问密钥。角色身份没有确定的访问密钥，当一个实体用户要使用角色时，必须通过扮演角色来获取对应的角色令牌，然后使用角色令牌来调用阿里云服务 API。
可以跨云账户创建角色(以便其他公司人员帮忙处理问题).
日常操作
API见RAM的API参考部分,有详细的介绍.
SDK部分可能比较过时了.
日常的控制台policy配置部分,可以参考"常见问题"中的示例.