借助访问控制RAM(Resource Access Management)的RAM用户,您可以实现权限分割,按需为RAM用户赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。

前提条件

背景信息

出于安全考虑,您可以为阿里云账号(主账号)创建RAM用户,并根据需要为这些RAM用户赋予不同的权限,这样就能在不暴露主账号密钥的情况下,实现让RAM用户各司其职的目的。

在本文中,假设企业A希望让部分员工处理日常运维工作,则企业A可以创建RAM用户,并为RAM用户赋予相应权限,此后员工即可使用这些RAM用户登录控制台。

步骤一:创建RAM用户

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击创建用户
  4. 创建用户页面的用户账号信息区域,输入登录名称显示名称
    说明 单击添加用户,可一次性创建多个RAM用户。
  5. 访问方式区域,选择访问方式。
    • 控制台访问:设置控制台登录密码、重置密码策略和多因素认证策略。
      说明 自定义登录密码时,密码必须满足密码复杂度规则。关于如何设置密码复杂度规则,请参见设置RAM用户密码强度
    • OpenAPI调用访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。
    说明 为了保障账号安全,建议仅为RAM用户选择一种登录方式,避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。
  6. 单击确定

步骤二:为RAM用户授予PTS控制台权限

RAM用户默认对PTS控制台不具备任何操作权限。若想使RAM用户拥有PTS控制台的操作权限(包括只读权限和读写权限),您需要使用阿里云账号(主账号)登录PTS控制台,并在应用权限管理页面为目标RAM用户授予相应权限。具体操作,请参见管理账号权限

创建和删除服务关联角色

当PTS检测到您没有授予PTS访问您的云资源权限时,会提示您授权PTS自动创建一个服务关联角色(AliyunServiceRoleForPts),允许PTS拥有对您云资源相应的访问权限。
  • 角色名称:AliyunServiceRoleForPts
  • 角色权限策略:AliyunServiceRolePolicyForPts
  • 角色权限说明:允许PTS拥有对您云资源相应的访问权限,包括ACK、ECS、ENI、RDS、SLB、VPC等。

如果您需要删除AliyunServiceRoleForPts,请在RAM控制台删除此服务关联角色。

说明 删除服务关联角色后会影响您VPC网络的压测和云产品(包括RDS、ECS、SLB等)数据的获取,若删除角色后仍需使用到VPC或云监控功能,系统会提示您创建服务关联角色。更多关于创建和删除服务关联角色的信息,请参见服务关联角色