全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
访问控制

用户

更新时间:2017-10-30 17:17:09

用户,是 RAM 中用到的一种身份;它对应到某一个操作实体,如操作员或应用程序。如果有新的用户或应用程序需要访问您的云资源,您需要创建 RAM 用户并授权其访问相关资源。一般操作步骤如下:

  1. 主账户(或拥有 RAM 操作权限的 RAM 用户)登录到 RAM 控制台
  2. 创建 RAM 用户,并将该用户 添加到一个或多个组
  3. 给用户(或其所属的组)添加一个或多个 授权策略
  4. 设置用户密钥。如果用户是通过控制台进行操作,则需为用户设置登录密码;如果用户是通过 API 进行调用,则需为用户创建 API 访问密钥(Access Key)。
  5. 如果用户需要使用特权操作(如停止虚拟机),那么可以为用户设置多因素认证(MFA),并要求用户必须使用 MFA 口令才能登录到阿里云控制台。
  6. 向用户提供登录 URL,用户名及其登录密码。

基本设置

设置 企业别名密码强度子用户登录限制

设置企业别名

操作步骤如下:

  1. 登录到 RAM 控制台

  2. 依次选择 设置 > 企业别名设置 > 编辑企业别名

  3. 输入 企业别名,并单击 确定,完成设置。

设置 RAM 用户的密码策略

操作步骤如下:

  1. 登录到 RAM 控制台

  2. 依次选择 设置 > 密码强度设置

  3. 按照页面提示,配置密码长度、字符格式、有效期、重试约束策略等规则,完成后单击 保存修改,使规则生效。

    注意:一旦设置成功,该密码策略适用于所有 RAM 用户。

设置子用户安全限制

  1. 登录到 RAM 控制台

  2. 依次选择 设置 > 子用户安全设置

  3. 对于子用户,勾选是否:

    • 允许登录时保存 MFA 登录状态(保存7天)
    • 允许自主管理密码(重置)
    • 允许自主管理 AccessKey(创建、禁用、删除)
    • 允许自主管理多因素设备(启用、禁用)
  4. 完成后单击 保存修改,使设置生效。

创建 RAM 用户

操作步骤如下:

  1. 登录到 RAM 控制台

  2. 依次选择 用户管理 > 新建用户

  3. 按照页面提示,输入用户信息,完成后单击 确认,完成创建。

创建 RAM 用户后,需要根据使用需求为 RAM 用户 设置登录密码创建访问密钥设置多因素认证设备(MFA)

设置登录密码

为需要通过控制台进行操作的用户设置登录密码,操作步骤如下:

  1. 登录到 RAM 控制台

  2. 在用户清单中找到需要设置登录密码的用户(可使用用户名进行模糊查询),单击其用户名或其操作列下的 管理,进入 用户详情 页面。

  3. 单击 启用控制台登录,在弹窗中为用户设置初始密码,并可以指定用户登录时必须更换密码。

    开启登录

  4. 登录密码设置成功后,可以进一步设置 多因素认证重置密码,及 关闭控制台登录

    设置登录

创建访问密钥(AK)

用户的访问密钥 AccessKey 相当于登录密码,只是使用场景不同。AccessKey 用于程序方式调用云服务 API,登录密码用于登录控制台。如果用户不需要调用 API,那么就不需要创建 AccessKey。

创建 AccessKey 的操作步骤如下:

  1. 登录到 RAM 控制台

  2. 在用户清单中找到需要创建 AccessKey 的用户(可使用用户名进行模糊查询),单击其用户名或其操作列下的 管理,进入 用户详情 页面。

  3. 单击 创建 AccessKey,在弹窗中查看新建的 AccessKey 信息,并可选择 保存 AK 信息

    设置登录

注意

  • 新创建的 AccessKey 只会在创建时显示,安全起见 RAM 并不提供查询接口,请您妥善保管。
  • 如果 AccessKey 泄露或丢失,则需要创建新的 AccessKey。

为用户设置 MFA

多因素认证(Multi-Factor Authentication, MFA)是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户登录阿里云时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自其 MFA 设备的可变验证码(第二安全要素)。这些多重要素结合起来将为您的账户提供更高的安全保护。

虚拟 MFA 设备是产生一个 6 位数字验证码的应用程序,它遵循基于时间的一次性密码 (TOTP) 标准 (RFC 6238)。此应用程序可在移动硬件设备上运行(例如智能手机)。

设置 MFA 的操作步骤如下:

  1. 登录到 RAM 控制台

  2. 在用户清单中找到需要设置 MFA 的用户(可使用用户名进行模糊查询),单击其用户名或其操作列下的 管理,进入 用户详情 页面。

  3. 单击 启用虚拟 MFA 设备,启动 绑定 MFA 设备 流程。

    启用虚拟MFA设备

RAM 用户登录

RAM 用户不同于云账户,登录入口也是有所区别,RAM 用户不能通过云账户登录页面进行登录。

在 RAM 控制台的概览页中,您可以找到 RAM 用户登录链接:

RAM用户登录URL

RAM 用户可以通过该登录 URL 登录到阿里云控制台:

RAM 用户登录页面

注意:RAM 用户默认是没有任何访问权限的。如果没有被授权,即使能登入控制台,但仍然无权做任何操作。了解如何给 RAM 用户授权,请参考 授权

本文导读目录