RAM(Resource Access Management)是阿里云提供的权限管理系统。RAM主要的作用是控制账号系统的权限,您可以使用RAM在阿里云主账号的权限范围内创建子账号,然后给不同的子账号分配不同的权限来允许或拒绝他们对云资源的访问,从而达到授权管理的目的。

说明:RAM子账号从属于阿里云主账号,并且这些子账号下不能拥有实际的任何资源,所有资源都属于阿里云主账号。

通过阿里云主账号开通DLA服务后,如果您的组织里有多个用户需要使用DLA服务,这些用户只能共享使用您的云账号AccessKey。这里有两个问题:

  • 您的密钥由多人共享,泄露的风险很高。

  • 您无法控制特定用户可以对DLA进行哪些操作,例如管理DLA(使用一键建仓)、只读访问DLA等。

此时,您可以创建RAM子账号,并授予子账号对应的权限。之后,让您的用户通过子账号访问或管理您的DLA服务。

如何实现

通过RAM子账号访问或者管理DLA服务需要以下两步。

  1. 创建RAM子账号

  2. 为RAM子账号授权

步骤一:创建RAM子账号

  1. 登录RAM控制台

  2. 单击左侧导航栏的人员管理 > 用户

  3. 用户页面,单击新建用户,输入登录名称显示名称

    说明:单击添加用户,可一次性创建多个RAM子账号。

  4. 访问方式区域下,选择控制台密码登录编程访问

    • 控制台密码登录:可以完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。

    • 编程访问:自动为RAM子账号创建访问密钥(AccessKey)。RAM子账号可以通过其他开发工具访问DLA服务。

      说明:为保障账号安全,建议仅为RAM子账号选择一种登录方式。避免RAM子账号离开组织后仍可以通过访问密钥访问DLA服务。

  5. 单击确认,创建RAM子账号。

步骤二:为RAM子账号授权

RAM中提供两种DLA系统策略:

  • AliyunDLAFullAccess:授予RAM子账号AliyunDLAFullAccess系统策略后,RAM子账号将在DLA中继承阿里云账号的所有权限,即在DLA服务中,RAM子账号拥有的权限与阿里云完全相同,请慎重使用。

  • AliyunDLAReadOnlyAccess:授予RAM子账号AliyunDLAReadOnlyAccess权限策略后,RAM子账号只能只读访问DLA服务。

系统策略统一由阿里云创建,您只能使用而不能修改,策略的版本更新由阿里云维护。

  1. 登录RAM控制台

  2. 单击左侧导航栏的人员管理 > 用户

  3. 用户页面,单击目标RAM子账号右侧的添加权限

  4. 添加权限页面,权限类型选择系统权限策略,输入策略名称找到对应的权限策略,单击将其添加到已选择框中。

  5. 单击确认,为RAM子账号授权。

    为RAM子账号授予相应的权限后,您就可以通过RAM子账号访问或者管理DLA服务。

更多信息

当RAM子账号不再需要某些权限或离开组织时,可以将这些权限移除或者删除RAM子账号,请参见为RAM用户移除权限以及删除RAM用户。