您可以通过创建RAM用户(子用户)管理用户权限,降低云账户信息安全风险。

RAM是阿里云提供的用户身份管理与资源访问控制服务。RAM允许在一个云账户(主账户)下创建并管理多个RAM用户,并允许给单个RAM用户分配不同的授权策略,从而实现不同RAM用户拥有不同的云资源访问权限。使用RAM还可以让您避免与其他用户共享云账号密钥(AccessKey),按需为用户分配最小权限,从而降低您的企业信息安全风险。

如果您需要创建多个RAM用户,您可以选择通过创建用户组对职责相同的RAM用户进行分类并授权,从而更好的管理用户及其权限。更多关于RAM,参见什么是RAM权限与授权策略

创建RAM用户/用户组及授权的具体步骤如下:

创建RAM用户

  1. 使用主账号登录访问控制RAM管理控制台
  2. 在左侧导航栏,单击用户管理
  3. 在页面右上角,单击新建用户,进入创建用户页面。
  4. 填写账号信息并勾选为该用户自动生成 AccessKey,然后单击确定
  5. 创建账号后会生成该账号的AccessKey,单击保存AK信息
    说明
    • AccessKey创建后,无法再通过控制台查看。请您妥善保存AccessKey,谨防泄露。
    • 更多关于如何创建RAM用户,参见创建RAM用户

创建用户组

  1. 使用主账号登录访问控制RAM管理控制台
  2. 在左侧导航栏,单击群组管理
  3. 在页面右上角,单击新建群组,进入创建群组页面。
  4. 填写组名称,然后单击确定
说明

为RAM用户/用户组授权

新建的RAM用户/用户组默认没有任何操作权限,只有在被授权之后,才能通过控制台和API操作资源。

阿里云RAM系统已经为HBR提供两种系统授权策略:AliyunHbrFullAccess,AliyunHbrReadOnlyAccess。您可以在RAM控制台直接选择这两个策略为RAM用户/用户组授权。关于如何授权RAM用户/用户组,参见直接为RAM用户授权

说明 除了RAM提供的策略,您还可以根据RAM中可授权的HBR操作创建自定义授权策略

RAM中可授权的HBR操作

操作 (Action) 资源 (Resource) 说明
hbr:CreateVault acs:hbr:*:$acountid:vault/* 创建备份仓库
hbr:DescribeVaults acs:hbr:*:$acountid:vault/* 列出备份仓库
hbr:DeleteVault acs:hbr:*:$acountid:vault/$vaultid 删除备份仓库
hbr:CreateClient acs:hbr:*:$acountid:vault/$vaultid/client/* 创建客户端证书
hbr:DescribeClients acs:hbr:*:$acountid:vault/$vaultid/client/* 列出客户端
hbr:GenerateClientToken acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 更新客户端证书
hbr:DescribeSnapshots acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 列出备份快照
hbr:ActivateClient acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 激活客户端
hbr:GenerateStsCredential acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 获取访问备份仓库数据的凭证
hbr:CreatePolicy acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 创建备份策略
hbr:DescribePolicies acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 列出备份策略
hbr:UpdatePolicy acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 修改备份策略
hbr:DeletePolicy acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 删除备份策略
hbr:CreateSnapshot acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 创建备份
hbr:UpdateSnapshot acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 更新备份进度
hbr:DeleteSnapshot acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 删除备份
hbr:* acs:hbr:*:*:vault/$vaultid/* 允许对指定备份仓库内的所有资源进行所有操作
hbr:* acs:hbr:*:*:vault/$vaultid/client/$clientid 允许使用指定的客户端进行所有操作

授权策略样例

允许对指定备份仓库内的所有资源进行所有操作:

{
  "Statement": [
    {
      "Action": "hbr:*",
      "Effect": "Allow",
      "Resource": "acs:hbr:*:*:vault/$vaultid/*"
    }
  ],
  "Version": "1"
}

允许使用指定的客户端进行所有操作:

{
  "Statement": [
    {
      "Action": "hbr:*",
      "Effect": "Allow",
      "Resource": "acs:hbr:*:*:vault/$vaultid/client/$clientid"
    }
  ],
  "Version": "1"
}