RAM用户概览

RAM用户即RAM账号,是RAM的一种实体身份类型。您可以为阿里云账号(主账号)创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。当您的企业存在多用户协同访问资源的场景时,您可以创建多个RAM用户并按需为其分配最小权限,避免多用户共享阿里云账号(主账号)密码或访问密钥(AccessKey),从而降低企业的安全风险。

什么是RAM用户

RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。RAM用户具备以下特点:

  • RAM用户由阿里云账号(主账号)或具有管理员权限的其他RAM用户、RAM角色创建,创建成功后,归属于该阿里云账号,它不是独立的阿里云账号。

  • RAM用户不拥有资源,不能独立计量计费,由所属的阿里云账号统一付费。

  • RAM用户必须在获得授权后,才能登录控制台或使用API访问阿里云账号下的资源。

  • RAM用户拥有独立的登录密码或AccessKey。

  • 一个阿里云账号下可以创建多个RAM用户,对应企业内的员工、系统或应用程序。

RAM用户类型

按照RAM用户的创建途径,RAM用户分为以下几种:

  • 手动创建:在RAM中创建的RAM用户。更多信息,请参见创建RAM用户

  • SCIM同步:通过SCIM协议从身份提供商(IdP)同步到RAM中创建的用户,不支持手动删除。更多信息,请参见通过SCIM协议将企业内部账号同步到阿里云RAM

  • 云SSO同步:通过云SSO的RAM用户同步功能创建的RAM用户。该类型的RAM用户必须通过云SSO登录,不能直接通过RAM用户名密码登录。可以绑定钉钉,但不可以使用RAM钉钉扫码登录。RAM用户同步任务删除后,才能手动删除保留的RAM用户。更多信息,请参见配置RAM用户同步

使用流程

  1. 使用阿里云账号(主账号)或RAM管理员登录RAM控制台

  2. 创建RAM用户。

    具体操作,请参见创建RAM用户

  3. 设置登录参数。

    虽然您可以为RAM用户同时设置控制台登录密码和API调用的AccessKey,但出于安全的考虑,建议您针对不同用途的RAM用户仅设置一种登录方式。例如:如果RAM用户代表的是应用程序,则需要通过API访问资源,您只需给它创建AccessKey。如果RAM用户代表的是员工,则需要通过控制台访问资源,您只需给它设置登录密码。具体设置方法如下:

  4. 为RAM用户授权。

    为不同的RAM用户授予不同的资源访问权限。具体操作,请参见为RAM用户授权

  5. 使用RAM用户登录控制台或使用AccessKey调用API。

    更多信息,请参见RAM用户登录阿里云控制台使用OpenAPI

最佳实践

当企业拥有多种云资源时,使用RAM的身份管理与权限管理功能,实现用户分权及资源统一管理。更多信息,请参见用户管理与分权

使用限制

关于RAM用户的使用限制,请参见使用限制