步骤4:创建RAM用户作为管理员
使用RAM用户代替主账号,是保障您阿里云账号安全的最重要的操作之一。完成此步骤后,您应该不再使用阿里云主账号进行日常操作。
为什么要用RAM用户,而不是直接用主账号?
阿里云账号(也称主账号),与RAM用户(Resource Access Management,阿里云提供的管理用户身份与资源访问权限的服务,详见什么是访问控制)在身份权限方面的对比和我们的建议如下:
对比项 | 主账号 | RAM用户 |
身份角色 | 资源的拥有者,拥有全部资产和最高权限。 | 资源和服务的使用者,权限由主账号授予,通常与某个确定的人或应用程序对应。 |
是否拥有云资源 | 是 | 否,资源归属主账号 |
默认权限 | 全部权限,不可限制。 | 默认无任何权限,需主账号授权。 |
使用建议 | 仅用于授权、付费、账号管理等关键管理操作。 | 日常开发、运维,部署等。 |
RAM用户目前仅能管理账号中心的地址和联系人信息,不可管理或修改其它主账号的配置信息,安全信息,和实名认证等。
账号安全的最佳实践
创建一个拥有管理员权限的RAM用户,专门用于日常管理和技术操作。
阿里云账号仅在必要时使用,并妥善保管账号密码及MFA等相关凭证。
所有日常操作都通过RAM管理员用户完成,避免阿里云账号暴露在日常环境中。
创建管理员权限的RAM用户
以下步骤将指导您如何使用阿里云账号登录,来创建一个RAM用户作为账号的管理员。
快速创建
使用阿里云账号登录RAM控制台,在概览页面,单击快速开始>账号管理员。
查看账号管理员的配置参数,单击执行配置。
该账号管理员默认启用控制台访问方式,绑定系统策略AdministratorAccess,具备管理所有阿里云资源的权限,
等待配置进度完成后,保存该账号管理员的RAM用户名和登录密码。
账号管理员创建成功后,后续您可以在RAM控制台对应功能菜单下修改其配置参数。
手动创建
创建RAM用户
使用阿里云账号(主账号)登录RAM控制台,在左侧导航栏,选择身份管理>用户, 单击创建用户。
输入信息并创建一个RAM用户。
登录名称:为您的管理员起一个名字,例如administrator。
显示名称:一个便于识别的别名,例如管理员。
访问方式:根据实际情况选择。建议您谨慎勾选OpenAPI访问,详情可参考使用访问凭据访问阿里云OpenAPI最佳实践。
MFA:推荐勾选需要开启MFA认证,后续绑定操作可参考为RAM用户绑定MFA设备。
根据界面提示,完成安全验证。
为RAM用户授权
在用户页面,找到目标RAM用户,在操作列单击添加权限。
在新增授权面板,为RAM用户添加系统权限策略AdministratorAccess,该权限策略具备管理所有阿里云资源的权限。
使用RAM用户登录
立即登出主账号。
使用RAM用户登录阿里云控制台。进入RAM用户登录,输入RAM用户名,单击下一步,输入RAM用户密码,单击登录。
从此以后,所有日常的云资源管理、开发、运维等工作,都请使用这个RAM管理员用户进行。
常见问题
这个RAM用户和我的阿里云账号有什么区别?
主要区别在于权限的来源和管理方式。阿里云账号拥有系统默认的最高权限,无法被其他账号撤销或限制。RAM用户的权限由主账号分配,可以随时调整、撤销或禁用。
如果RAM管理员的凭证泄露,您可以用主账号登录,删除或禁用该RAM用户,及时消除风险。但如果主账号泄露,所有资源和权限都将失去控制。
另外,部分操作如实名认证,修改账号信息,注销账号等,仍需要主账号操作,RAM用户无权限。