RAM是阿里云提供的用户身份管理与资源访问控制服务。您可以通过创建RAM用户管理用户权限,降低云账户信息安全风险。

背景信息

RAM允许在一个云账户(主账户)下创建并管理多个RAM用户,并允许给单个RAM用户分配不同的授权策略,从而实现不同RAM用户拥有不同的云资源访问权限。使用RAM还可以让您避免与其他用户共享云账号密钥(AccessKey),按需为用户分配最小权限,从而降低您的企业信息安全风险。更多关于RAM,参见什么是RAM权限与授权策略

使用RAM进行用户权限管理,您需要先创建RAM用户或用户组,然后给该RAM用户或用户组分配不同的授权策略。

创建RAM用户

请按照如下步骤创建RAM用户。

  1. 云账号登录RAM控制台
  2. 在左侧导航栏的人员管理菜单下,单击用户
  3. 单击新建用户
    说明 单击添加用户,可一次性创建多个RAM用户。
  4. 输入登录名称显示名称
  5. 访问方式区域下,选择控制台密码登录编程访问
    • 控制台密码登录:完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
    • 编程访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。
    说明 为了保障账号安全,建议仅为RAM用户选择一种登录方式,避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。
  6. 单击确认

创建用户组

如果您需要创建多个RAM用户,您可以选择通过创建用户组对职责相同的RAM用户进行分类并授权,从而更方便地管理用户及其权限。

  1. 云账号登录RAM控制台
  2. 在左侧导航栏的人员管理菜单下,单击用户组
  3. 单击新建用户组
  4. 输入用户组名称显示名称备注
  5. 单击确认
  6. 单击关闭

为RAM用户、用户组分配授权策略

新建的RAM用户、用户组默认没有任何操作权限,只有在被授权策略之后,才能通过控制台和API操作资源。

阿里云RAM为HBR提供两种授权策略:
  • AliyunHbrFullAccess:赋予子账号混合云备份的所有使用权限。
  • AliyunHbrReadOnlyAccess:赋予子账号混合云备份控制台的读权限。

您可以在RAM控制台为RAM用户、用户组授权这两个策略。

  1. 云账号登录RAM控制台
  2. 在左侧导航栏的权限管理菜单下,单击授权
  3. 单击新增授权
  4. 被授权主体区域下,输入目标授权主体名称后,单击需要授权的主体。
    说明 输入RAM用户、用户组或RAM角色名称可以进行模糊搜索。
  5. 在左侧权限策略名称列表下,单击需要授予目标主体的权限策略。这里以添加AliyunHbrFullAccess:赋予子账号混合云备份的所有使用权限AliyunHbrReadOnlyAccess:赋予子账号混合云备份控制台的读权限为例。

    说明 在右侧区域框,选择某条策略并单击×,可撤销该策略。
  6. 单击确定
  7. 单击完成
说明 除了RAM提供的策略,您还可以创建自定义策略