【试用教程】创建RAM用户并授权
ram
一键配置
20
教程简介
在本教程中,您将在访问控制RAM(Resource Access Management)中创建一个RAM用户,授予AdministratorAccess权限,充当管理员。后续通过该管理员创建多个RAM用户,进行分权管理。基于安全最佳实践,强烈建议您不要使用阿里云账号(主账号)进行日常运维管理。
访问控制RAM是阿里云提供的管理用户身份与资源访问权限的服务。
我能学到什么
学会创建RAM用户。
学会为RAM用户授权。
学会使用RAM用户登录阿里云控制台。
操作难度 | 中 |
所需时间 | 20分钟 |
使用的阿里云产品 | |
所需费用 | 0元 |
准备环境及资源
5
开始教程前,请按以下步骤准备环境和资源:
访问阿里云免费试用。单击页面右上方的登录/注册按钮,并根据页面提示完成账号登录(已有阿里云账号)、账号注册(尚无阿里云账号)或实名认证(根据试用产品要求完成个人实名认证或企业实名认证)。
成功登录后,在迁移与运维管理分类下,选择访问控制,单击立即试用。
一键配置
5
准备好资源后,您可以通过一键配置快速完成资源配置或应用搭建。一键配置基于阿里云资源编排服务ROS(Resource Orchestration Service)实现,旨在帮助开发者通过IaC(Infrastructure as Code)的方式体验资源的自动化配置。如需查看软件版本、安装命令等配置的具体信息,可查看教程的手动配置版。模板完成的内容包括:
创建RAM用户
为RAM用户设置控制台登录密码
为RAM用户授权
操作步骤
打开一键配置模板链接前往ROS控制台,系统自动打开使用新资源创建资源栈的页面。
在配置模板参数页面,配置资源栈名称、RAM用户名称、RAM用户登录密码和授予的权限策略名称,然后单击创建。
在资源栈信息页签,当状态显示为创建成功时,表示一键配置完成。
完成
5
退出当前登录的阿里云账号(主账号)。
在登录页面,单击RAM用户。
在RAM用户名密码登录页签,输入RAM用户名,然后单击下一步。
输入RAM用户的登录密码,然后单击登录。
使用RAM用户访问阿里云资源,确保能正常访问。
清理及后续
5
清理
为确保您的账号安全,完成上述操作后,建议您移除RAM用户的授权并删除该RAM用户。具体操作,请参见为RAM用户移除权限和删除RAM用户。
后续
您可以使用该管理员创建多个RAM用户,并为其授予不同的权限。如果系统策略不能满足您的需求,您可以创建自定义策略实现更加精细的授权。具体操作,请参见创建自定义权限策略。
总结
常用知识点
问题1:新创建的RAM用户,在没有授权之前,有无访问云资源的权限?(判断题)
正确答案:无。新创建的RAM用户,默认没有任何权限。
问题2:对于人员用户,建议启用RAM用户的哪种访问方式?(单选题)
正确答案:控制台访问。建议您只选择一种访问方式,将人员用户和应用程序用户分离,避免混用。对于人员用户,仅启用控制台访问方式。对于应用程序用户,仅启用OpenAPI调用访问方式。
延伸阅读
手动配置
30
教程简介
在本教程中,您将在访问控制RAM(Resource Access Management)中创建一个RAM用户,授予AdministratorAccess权限,充当管理员。后续通过该管理员创建多个RAM用户,进行分权管理。基于安全最佳实践,强烈建议您不要使用阿里云账号(主账号)进行日常运维管理。
访问控制RAM是阿里云提供的管理用户身份与资源访问权限的服务。
我能学到什么
学会创建RAM用户。
学会为RAM用户授权。
学会使用RAM用户登录阿里云控制台。
操作难度 | 中 |
所需时间 | 30分钟 |
使用的阿里云产品 | |
所需费用 | 0元 |
准备环境及资源
5
开始教程前,请按以下步骤准备环境和资源:
访问阿里云免费试用。单击页面右上方的登录/注册按钮,并根据页面提示完成账号登录(已有阿里云账号)、账号注册(尚无阿里云账号)或实名认证(根据试用产品要求完成个人实名认证或企业实名认证)。
成功登录后,在迁移与运维管理分类下,选择访问控制,单击立即试用。
创建RAM用户
5
使用阿里云账号(主账号)登录RAM控制台。
在左侧导航栏,选择身份管理>用户。
在用户页面,单击创建用户。
根据界面提示,完成安全验证。
在创建用户页面的用户账号信息区域,设置用户基本信息。
登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。
显示名称:最多包含128个字符。
说明单击添加用户,可以批量创建多个RAM用户。
在访问方式区域,选择访问方式,然后设置对应参数。
为了账号安全,建议您只选择以下访问方式中的一种,将人员用户和应用程序用户分离,避免混用。
控制台访问
如果RAM用户代表人员,建议启用控制台访问,使用用户名和密码访问阿里云。启用后,您需要设置以下参数。本示例中,选择控制台访问方式。
控制台密码:选择自动生成密码或者自定义密码。自定义登录密码时,密码必须满足密码复杂度规则。更多信息,请参见设置RAM用户密码强度。
密码重置策略:选择在下次登录时是否需要重置密码。
多因素认证(MFA)策略:选择是否为当前RAM用户启用MFA。选择启用MFA后,RAM用户登录控制台时,需要绑定MFA设备。更多信息,请参见为RAM用户绑定多因素认证设备。本示例为方便操作,暂不启用MFA。
OpenAPI调用访问
如果RAM用户代表应用程序,建议启用OpenAPI调用访问,使用访问密钥(AccessKey)访问阿里云。启用后,系统会自动为RAM用户生成一个AccessKey ID和AccessKey Secret。更多信息,请参见创建AccessKey。
重要RAM用户的AccessKey Secret只在创建时显示,不支持查看,请妥善保管。
单击确定。
为RAM用户授权
5
在用户页面,单击目标RAM用户操作列的添加权限。
在添加权限面板,为RAM用户添加权限。
选择授权应用范围。
整个云账号:权限在当前阿里云账号内生效。本示例中,选择该项。
指定资源组:权限在指定的资源组内生效。
说明指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务。
输入授权主体。
授权主体即需要添加权限的RAM用户。
选择权限策略。
本示例中,选择系统策略AdministratorAccess。
说明每次最多绑定5条策略,如需绑定更多策略,请分次操作。
单击确定。
单击完成。
RAM用户登录阿里云控制台
5
退出当前登录的阿里云账号(主账号)。
在登录页面,单击RAM用户。
在RAM用户名密码登录页签,输入RAM用户名,然后单击下一步。
输入RAM用户的登录密码,然后单击登录。
完成
5
使用RAM用户访问阿里云资源,确保能正常访问。
清理及后续
5
清理
为确保您的账号安全,完成上述操作后,建议您移除RAM用户的授权并删除该RAM用户。具体操作,请参见为RAM用户移除权限和删除RAM用户。
后续
您可以使用该管理员创建多个RAM用户,并为其授予不同的权限。如果系统策略不能满足您的需求,您可以创建自定义策略实现更加精细的授权。具体操作,请参见创建自定义权限策略。
总结
常用知识点
问题1:新创建的RAM用户,在没有授权之前,有无访问云资源的权限?(判断题)
正确答案:无。新创建的RAM用户,默认没有任何权限。
问题2:对于人员用户,建议启用RAM用户的哪种访问方式?(单选题)
正确答案:控制台访问。建议您只选择一种访问方式,将人员用户和应用程序用户分离,避免混用。对于人员用户,仅启用控制台访问方式。对于应用程序用户,仅启用OpenAPI调用访问方式。