子用户登录入口在哪里?

您可以访问 https://signin.aliyun.com 子用户登录页登录,也可以使用 RAM 控制台概览页的 RAM 用户登录链接登录。

子账号登录的用户名输入格式为:<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。如果创建了域别名,那么也可以使用域别名登录,格式为:<$username>@<$DomainAlias>。
说明 当您使用 RAM 控制台概览页的子用户登录链接登录时,系统会为您自动填写默认域名,您只需补齐子用户名称即可。

什么是默认域名、账号别名、域别名?如何使用和管理?

默认域名账号别名域别名相关概念请参考相关术语

您可以用云账号或具有 RAM 管理权限的子用户登录 RAM 控制台,在人员管理 > 设置 > 高级设置 > 域别名中查看并管理您的云账号默认域名、账号别名和域别名。

子用户采购云产品需要什么权限?

  • 如需采购按量付费的云产品,一般只需给子用户分配该产品的创建实例或类似权限即可。
  • 如需采购包年包月的云产品,还需要额外的支付订单的权限,即授予用户 AliyunBSSOrderAccess 的权限策略。
  • 有些产品在购买时需要连带使用或创建多种资源,这种情况下则需要子用户具备相应资源的读取或创建权限,以下以创建 ECS 实例为例,说明具体需要的权限。
    首先,如下 Policy 可以满足子用户具有从控制台、使用 API 或从实例启动模板创建 ECS 实例的基本能力:
    
    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "ecs:DescribeLaunchTemplates",
            "ecs:CreateInstance",
            "ecs:RunInstances",
            "ecs:DescribeInstances",
            "ecs:DescribeImages",
            "ecs:DescribeSecurityGroups"
          ],
          "Resource": "*",
          "Effect": "Allow"
        },
        {
          "Action": [
            "vpc:DescribeVpcs",
            "vpc:DescribeVSwitches"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
    如果需要用户在创建 ECS 实例过程中使用或创建其他资源,则根据资源类型不同,还需要赋予以下各类权限。您可以进入 RAM 控制台权限策略管理页面,根据需要创建自定义策略,并给用户授权。
    操作 权限策略 Action
    使用快照创建 ECS 实例 ecs:DescribeSnapshots
    同时创建并使用新的 VPC

    vpc:CreateVpc

    vpc:CreateVSwitch

    同时创建并使用新的安全组

    ecs:CreateSecurityGroup

    ecs:AuthorizeSecurityGroup

    指定实例角色

    ecs:DescribeInstanceRamRole

    ram:ListRoles

    ram:PassRole

    使用 Keypair

    ecs:CreateKeyPair

    ecs:DescribeKeyPairs

    在专有宿主机上创建 ECS 实例 ecs:AllocateDedicatedHosts

授权给子用户后,为什么访问时系统依然提示无权限?

  • 请确认子用户的权限策略是否正确。
  • 请检查子用户的自定义策略(个人权限策略、加入组的权限策略)是否对相关资源或操作设置了"Effect": "Deny"

    例如:子用户有 AliyunECSReadOnlyAccess 权限策略 (只读访问云服务器 ECS 的权限),但如果同时也有如下权限策略:

    
    {
      "Statement": [
        {
          "Action": "ecs:*",
          "Effect": "Deny",
          "Resource": "*"
        }
      ],
      "Version": "1"
    }
    

    由于 RAM 的 Deny 优先原则,则该子用户不可以查看 ECS 资源。

没有授权子用户某个权限,为什么子用户仍可以操作?

例如:子用户没有 ECS 的 FullAccess 或者 ReadOnly 系统策略,也没有自定义策略,但可以查看实例列表。

  1. 请检查子用户的组权限策略中是否存在允许子用户操作的相应权限。
  2. 请确认当前已经被授权给子用户的其他权限策略中是否包含了相关权限。

例如:云监控的系统权限策略为 AliyunCloudMonitorFullAccess,它包括"ecs:DescribeInstances"(查看 ECS 实例列表),"rds:DescribeDBInstances"(查看 RDS 实例列表),"slb:DescribeLoadBalancer" (查看 SLB 实例列表) 等等。当 AliyunCloudMonitorFullAccess 被授权给子用户后,该子用户也就有权限查看 ECS、RDS、SLB 等产品的实例信息。

怎样授权子用户单独管理续费?

目前续费管理没有统一的权限策略,需要根据具体产品自定义权限策略。一般需要授权给子用户购买该产品所需要的权限以及支付订单的权限。

例如:子用户要进行 ECS 的续费管理,可以参见问题子用户采购云产品需要什么权限?给子用户授权,同时需要授予 AliyunBSSOrderAccess 策略。