阿里云RAM

RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM用户是表明任意的经过控制台或OpenAPI操做阿里云资源的人、系统或应用程序。RAM容许您在云帐号下建立并管理多个用户，每一个用户都有惟一的用户名、登陆密码或访问密钥。
云帐户与RAM用户是一种主子关系。
云帐户(主帐号)：
1）阿里云资源归属、资源使用计量计费的基本主体
RAM用户(子帐号)：
1）只能存在于某个云帐户下的RAM实例中
2）不拥有资源，在被受权操做时所建立的资源归属于主帐户
3）RAM用户不拥有帐单，被受权操做时所发生的费用也计入主帐户帐单。

用户群组：
若是多个用户的工做职责相同，经过建立群组的方式来进行用户权限管理。
角色：

1）子用户和角色均可以指定一个受权策略，用来讲明这个子用户或角色可以访问云资源的权限。
2）子用户，在RAM中能够为一个子用户设置密码和AccessKey， 而后经过用户名或密码来以这个子用户的身份登陆阿里云管理控制台； 或者使用这个子用户的AccessKey，以这个子用户的身份访问阿里云OpenAPI。
3）角色，不能够设置密码和AccessKey，可是能够设置可信实体。 您能够在可信实体中定义哪些云服务或哪些云账号下的子用户能够扮演此角色，既以此角色的身份和权限来访问您的云资源。
受权策略：
1）受权策略是一组权限的集合，它以一种策略语言来描述。经过给用户或群组附加受权策略，用户或群组中的全部用户就能得到受权策略中指定的访问权限。2）支持两种类型的受权策略：系统受权策略和客户自定义受权策略。
3）支持策略版本管理，一个受权策略有多个版本可使用。
受权访问场景：

1）直接使用云帐号访问资源
2）使用RAM用户访问资源
3）使用STS令牌访问资源
STS：
阿里云STS (Security Token Service) 是为阿里云帐号（或RAM用户）提供短时间访问权限管理的云服务。经过STS，您能够为联盟用户（您的本地帐号系统所管理的用户）颁发一个自定义时效和访问权限的访问凭证(token令牌)。联盟用户可使用STS短时间访问凭证直接调用阿里云服务API，或登陆阿里云管理控制台操做被受权访问的资源。
签名：
RAM服务会对每一个访问的请求进行身份验证，因此不管使用HTTP仍是HTTPS协议提交请求，都须要在请求中包含签名（Signature）信息。RAM经过使用Access Key ID和Access Key Secret进行对称加密的方法来验证请求的发送者身份。Access Key ID和Access Key Secret由阿里云官方颁发给访问者（能够经过阿里云官方网站申请和管理），其中Access Key ID用于标识访问者的身份；Access Key Secret是用于加密签名字符串和服务器端验证签名字符串的密钥，必须严格保密，只有阿里云和用户知道。