全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件
访问控制

用户

更新时间:2018-04-17 20:45:46

用户,是 RAM 中的一种身份;它对应某一个操作实体,如操作员或应用程序。如果有新的用户或应用程序访问您的云资源,您需要创建 RAM 用户并授权其访问相关资源。一般操作步骤如下:

  1. 使用云账号(或拥有 RAM 操作权限的 RAM 用户)登录到 RAM 控制台
  2. 创建 RAM 用户,并将此用户 添加到一个或多个组
  3. 为用户(或其所属的组)添加一个或多个 授权策略
  4. 设置用户密钥。如果用户是通过控制台进行操作,则需为用户设置登录密码;如果用户是通过 API 进行调用,则需为用户创建 API 访问密钥(AccessKey)。
  5. 如果用户需要使用特权操作(如停止虚拟机),那么可以为用户设置多因素认证(MFA),并要求用户必须使用 MFA 口令才能登录到阿里云控制台。
  6. 向用户提供登录 URL、用户名及密码。

基本设置

设置企业别名

操作步骤如下:

  1. 登录 RAM 控制台

  2. 选择 设置 > 企业别名设置 > 编辑企业别名

  3. 输入 企业别名,并单击 确定

设置密码策略

操作步骤如下:

  1. 登录 RAM 控制台

  2. 选择 设置 > 密码强度设置

  3. 按照页面提示,配置密码长度、字符格式、有效期、重试约束策略等规则,然后单击 保存修改,使规则生效。

    注意:一旦设置成功,此密码策略适用于所有 RAM 用户。

设置登录限制

  1. 登录 RAM 控制台

  2. 选择 设置 > 子用户安全设置

  3. 子用户安全设置子页,配置相关参数。

  4. 单击 保存修改

创建 RAM 用户

操作步骤如下:

  1. 登录 RAM 控制台

  2. 选择 用户管理 > 新建用户

  3. 按照页面提示,输入用户信息,然后单击 确定

创建 RAM 用户后,您可以根据使用需求执行如下操作:

设置登录密码

为需要通过控制台进行操作的用户设置登录密码,操作步骤如下:

  1. 登录 RAM 控制台

  2. 用户管理页面,找到需要设置登录密码的用户(可使用用户名进行模糊查询),然后单击其用户名或其操作列下的管理按钮。

  3. 用户详情页面,单击启用控制台登录

    开启登录

  4. 在弹出的对话框中,为用户设置初始密码,并可以指定用户下次登录成功后必须更换密码。

创建访问密钥(AK)

为需要通过 API 进行调用的用户创建访问密钥(AK),操作步骤如下:

  1. 登录 RAM 控制台

  2. 用户管理页面,找到需要创建 AccessKey 的用户(可使用用户名进行模糊查询),然后单击其用户名或其操作列下的管理按钮。

  3. 用户详情页面,单击 创建 AccessKey

  4. 在弹出的对话框中,查看新建的 AK 信息,并可选择 保存 AK 信息

注意

  • AK 信息只会在创建时显示,请您妥善保管。为安全起见, RAM 不提供 AK 信息查询。
  • 如果 AK 泄露或丢失,则需要创建新的 AK。

设置 MFA

多因素认证(Multi-Factor Authentication, MFA)是一种简单有效的最佳安全实践,它能够在用户名和密码之外再增加一层安全保护。启用 MFA 后,用户登录阿里云时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自其虚拟 MFA 设备的可变验证码(第二安全要素)。这些多重要素结合起来将为您的账户提供更高的安全保护。

虚拟 MFA 设备是产生一个 6 位数字验证码的应用程序,它遵循基于时间的一次性密码 (TOTP) 标准 (RFC 6238)。此应用程序可在移动硬件设备上运行(例如智能手机)。

设置 MFA 的操作步骤如下:

  1. 登录 RAM 控制台

  2. 用户管理页面,找到需要创建 AccessKey 的用户(可使用用户名进行模糊查询),然后单击其用户名或其操作列下的管理按钮。

  3. 用户详情页面,单击 启用虚拟MFA设备,启动 设置 MFA 流程。

    启用虚拟MFA设备

RAM 用户登录

登录入口

RAM 用户和云账号的登录入口不同,RAM 用户不能通过云账户登录页面进行登录。

RAM 用户的登录入口如下:https://signin.aliyun.com/login.htm (也可通过登录 RAM 控制台在概览子页查询登录链接)。

登录信息

RAM 用户登录需提供企业别名、子用户名称和密码。

其中,企业别名就是您在 RAM 初始设置 中设置的企业别名。如果没有设置企业别名,默认的企业别名就是您的云账号 ID(可在 账号管理 > 安全设置 中查询)。

注意:RAM 用户默认是没有任何访问权限的。如果没有被授权,即使能登入控制台,也无法进行任何操作。关于如何为 RAM 用户授权,请参考 授权

删除 RAM 用户

警告:删除用户需要谨慎操作!如果有业务系统正在以此用户身份运行,那么可能会导致客户的业务故障。

操作步骤如下:

  1. 登录 RAM 控制台

  2. 找到您要删除的RAM用户,在对应的操作区域单击删除
    删除RAM用户

  3. 在弹出的删除用户对话框中,勾选关联删除子用户AccessKey并撤销子用户权限复选框,然后单击确定按钮。
    删除用户对话框

本文导读目录