借助访问控制RAM的RAM用户,您可以实现权限分割的目的,按需为子账号赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。

前提条件

背景信息

出于安全考虑,您可以为阿里云账号(主账号)创建RAM用户(子账号),并根据需要为这些子账号赋予不同的权限,这样就能在不暴露主账号密钥的情况下,实现让子账号各司其职的目的。

在本文中,假设企业A希望让部分员工处理日常运维工作,则企业A可以创建RAM用户,并为RAM用户赋予相应权限,此后员工即可使用这些RAM用户登录控制台。

PTS允许您借助RAM用户实现分权,即为该子账号开启控制台登录权限,并授予AliyunPTSFullAccess权限。

操作步骤

  1. 创建RAM用户

    首先需要使用阿里云账号(主账号)登录RAM控制台并创建RAM用户。

    1. 登录RAM控制台,在左侧导航栏中选择人员管理 > 用户,并在用户页面上单击新建用户
    2. 新建用户页面的用户账号信息区域框中,输入登录名称显示名称
      说明 登录名称中允许使用小写英文字母、数字、“.”、“_”和“-”,长度不超过128个字符。显示名称不可超过24个字符或汉字。
    3. (可选)如需一次创建多个用户,则单击添加用户,并重复上一步。
    4. 访问方式区域框中,勾选控制台密码登录,设置包括自动生成默认密码或自定义登录密码、登录时是否要求重置密码,以及是否开启MFA多因素认证,并单击确定
    5. 手机验证对话框中单击获取验证码,并输入收到的手机验证码,然后单击确定。创建的RAM用户显示在用户页面上。
  2. 为RAM用户添加权限

    在使用RAM用户之前,需要为其添加相应权限。

    1. RAM控制台左侧导航栏中选择人员管理 > 用户
    2. 用户页面上找到需要授权的用户,单击操作列中的添加权限
    3. 添加权限面板的选择权限区域框中,通过关键字搜索需要添加的权限策略(AliyunPTSFullAccess) ,并单击权限策略将其添加至右侧的已选择列表中,然后单击确定
    说明 目前PTS仅支持授予子账号PTS服务资源完全访问权限。

后续步骤

创建服务关联角色

当PTS检测到您没有授予PTS访问您的云资源权限时,会提示您授权PTS自动创建一个服务关联角色,允许PTS拥有对您云资源相应的访问权限。更多关于服务关联角色的信息请参见服务关联角色

  • 角色名称:AliyunServiceRoleForPts
  • 角色权限策略:AliyunServiceRolePolicyForPts
  • 角色权限说明:允许PTS拥有对您云资源相应的访问权限,包括ENI、VPC、ECS、RDS、SLB等

删除服务关联角色

如果您需要删除AliyunServiceRoleForPts(服务关联角色),请在RAM控制台删除此服务关联角色,详情请参见删除服务关联角色

说明 删除服务关联角色后会影响您VPC网络的压测和云产品(包括RDS、ECS、SLB等)数据的获取,若删除角色后仍需使用到VPC或云监控功能,系统会提示您创建服务关联角色,创建步骤请参见创建服务关联角色