RAM是阿里云提供的用户身份管理与资源访问控制服务。您可以通过RAM用户管理用户权限,降低云账户信息安全风险。

背景信息

RAM允许在一个云账户(主账户)下创建并管理多个RAM用户,并允许给RAM用户分配不同的授权策略,从而实现不同RAM用户拥有不同的云资源访问权限。使用 RAM 还可以让您避免与其他用户共享云账号密钥(AccessKey),按需为用户分配最小权限,从而降低您的企业信息安全风险。

创建 RAM 用户

  1. 使用主账号登录 RAM访问控制台
  2. 在左侧导航栏中,选择人员管理 > 用户,单击新建用户
  3. 配置用户账号信息。
  4. 配置访问方式,勾选控制台登录密码编程访问
  5. 勾选自定义登录密码,输入一个初始密码,并勾选用户在下次登录时必须重置密码
  6. (可选)启动多因素认证设备,单击确定
  7. 保存生成的账号、密码、AccessKeyID 和 AccessKeySecret。
    说明 请及时保存该 AccessKey 信息,并妥善保管。

创建用户组

如果您需要创建多个RAM用户,您可以选择通过创建用户组对职责相同的RAM用户进行分类并授权,从而更方便地管理用户及其权限。

  1. 使用主账号登录 RAM访问控制台
  2. 在左侧导航栏中,选择人员管理 > 用户组,单击新建用户组
  3. 填写用户组名称和显示名称,单击确认

为RAM用户/用户组分配授权策略

新建的RAM用户/用户组默认没有任何操作权限,只有在被授权策略之后,才能通过控制台和API操作资源。此处以RAM用户为例,介绍授权操作步骤。

阿里云系统权限策略提供两种NAS策略,您可以根据需求为子账号授权。
  • AliyunNASFullAccess:管理文件存储服务(NAS)的权限
  • AliyunNASReadOnlyAccess:查看文件存储服务(NAS)的权限
说明 由于系统权限策略的授权粒度比较粗,如果这种粗粒度权限策略不能满足您的需求,您可以创建自定义权限策略,详情请参见创建自定义权限策略
  1. 用户页面,选择要授权的子账号,单击添加权限
  2. 添加权限页面,选择NAS权限,为子账号授权。

    授权