AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

管理RAM角色的权限

更新时间:
复制为 MD 格式
我的收藏

本文介绍如何为RAM角色授予、查看和移除权限。

使用限制

  • 服务关联角色 的权限由关联的云服务预先定义且不可修改,您不能为服务关联角色手动添加或移除权限。

  • 每个RAM角色可绑定的权限策略(包括系统策略和自定义策略)数量存在上限。具体请参见使用限制

RAM角色新增授权

控制台

建议为操作人员分配系统策略AliyunRAMFullAccess  (RAM管理员)权限。

控制台提供了多种授权入口,您可以根据具体场景选择最便捷的方式。

操作入口

适用场景

是否支持批量操作

身份管理 > 角色 列表页

为单个或多个角色授予相同的权限。

权限管理 > 授权 页面

从权限视角出发,为多个不同身份(用户、用户组、角色)批量授予相同权限。

从角色页面发起

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击目标RAM角色 Actions 列的新增授权

    您也可以选中多个RAM角色,单击角色列表下方的新增授权,为RAM角色批量授权。

  4. 新增授权面板,为RAM角色授权。

    1. 选择资源范围。

      • 账号级别 :权限在当前阿里云账号内生效。

      • 资源组级别 :权限在指定的资源组内生效。

        说明

        指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务

    2. 选择授权主体。

      授权主体即需要添加权限的RAM角色。系统会自动选择当前的RAM角色。

    3. 选择权限策略。

      权限策略是一组访问权限的集合。支持批量选中多条权限策略。

      • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务(云服务及系统策略栏)。

        说明

        系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等)。授权时,尽量避免授予不必要的高风险权限策略。

      • 自定义策略:由用户自主创建,策略的版本更新也由用户维护。用户可以自主创建、更新和删除自定义策略。关于如何创建自定义策略,请参见创建自定义权限策略

    4. 单击确认新增授权

  5. 单击关闭

从授权页面发起

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 授权

  3. 授权页面,单击新增授权

  4. 新增授权面板,为RAM角色授权。

    1. 选择资源范围。

      • 账号级别:权限在当前阿里云账号内生效。

      • 资源组级别:权限在指定的资源组内生效。

        说明

        指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务

    2. 选择授权主体。

      授权主体即需要添加权限的RAM角色。支持批量选中多个RAM角色。

    3. 选择权限策略。

      权限策略是一组访问权限的集合。支持批量选中多条权限策略。

      • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务(云服务及系统策略栏)。

        说明

        系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等)。授权时,尽量避免授予不必要的高风险权限策略。

      • 自定义策略:由用户自主创建,策略的版本更新也由用户维护。用户可以自主创建、更新和删除自定义策略。关于如何创建自定义策略,请参见创建自定义权限策略

    4. 单击确认新增授权

  5. 单击关闭

OpenAPI

您可以调用接口AttachPolicyToRole为指定RAM角色添加权限,并传入参数:

  • PolicyType:要授予的权限策略类型:System代表系统策略,Custom代表自定义策略。大小写敏感

  • PolicyName:要授予的权限策略的准确名称。

  • RoleName:指定RAM角色名称。

说明

调用接口AttachPolicyToRole的授权范围为当前的阿里云账号,不支持资源组级别授权。如您希望在资源组级别对RAM角色进行授权,应调用资源组接口RAM身份授权

查看RAM角色的权限

建议为操作人员分配系统策略AliyunRAMReadOnlyAccess 权限。

控制台

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击目标RAM角色名称。

  4. 权限管理页签,查看角色被授予的权限策略。

OpenAPI

您可以调用接口ListPoliciesForRole查看指定RAM角色的权限策略,并传入参数:

RoleName:指定RAM角色名称。

RAM角色移除权限

建议为操作人员分配系统策略AliyunRAMFullAccess (RAM管理员)权限。

控制台

您可以使用多种方式移除RAM角色的权限。

从角色页面发起

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击目标RAM角色名称。

  4. 权限管理页签,单击目标权限策略 Actions 列的解除授权

    您也可以选中多个权限策略,单击权限策略列表下方的解除授权,为RAM角色批量解除多个授权。

  5. 解除授权对话框,单击解除授权

从授权页面发起

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 授权

  3. 授权页面,单击目标RAM角色 Actions 列的解除授权

    您也可以选中多个RAM角色,单击角色列表下方的解除授权,为多个RAM角色批量解除多个授权。

  4. 解除授权对话框,单击解除授权

OpenAPI

您可以调用接口DetachPolicyFromRole为指定RAM角色移除权限策略,并传入参数:

  • PolicyType:要移除的权限策略类型:System代表系统策略,Custom代表自定义策略。大小写敏感

  • PolicyName:要移除的权限策略的准确名称。

  • RoleName:指定RAM角色名称。

上一篇:创建自定义权限策略下一篇:创建AccessKey