步骤4:创建RAM用户作为管理员
使用RAM用户代替主账号,是保障您阿里云账号安全的最重要的操作之一。完成此步骤后,您应该不再使用阿里云主账号进行日常操作。
为什么要用RAM用户,而不是直接用主账号?
阿里云账号,也称为主账号或者根账号,与RAM用户(Resource Access Management,阿里云提供的管理用户身份与资源访问权限的服务,详见什么是访问控制)在身份权限方面的对比和我们的建议如下:
对比项 | 阿里云账号(主账号/根账号) | RAM用户 |
核心身份 | 资源的拥有者,拥有全部资产和最高权限。 | 资源和服务的使用者,本身不拥有资产,由主账号授权使用。 |
权限范围 | 拥有所有权限,包括创建、删除资源,支付,管理其他用户等。 | 默认无任何权限,需主账号授权。建议遵循“最小权限原则”,仅授予必要权限。 |
安全建议 | 强烈建议主账号仅用于授权、付费等关键管理操作,不参与日常技术操作,应重点保护。 | 日常技术开发、运维管理应使用RAM用户账号,降低主账号泄露带来的风险。 |
账号安全的最佳实践
创建一个拥有管理员权限的RAM用户,专门用于日常管理和技术操作。
主账号仅在必要时使用,并妥善保管账号密码及MFA等相关凭证。
所有日常操作都通过RAM管理员用户完成,避免主账号暴露在日常环境中。
创建RAM管理员
以下步骤将指导您如何使用主账号登录,来创建一个RAM管理员用户。
快速创建
使用阿里云主账号登录RAM控制台,在概览页面,单击快速开始>账号管理员。
查看账号管理员的配置参数,单击执行配置。
该账号管理员默认启用控制台访问方式,绑定系统策略AdministratorAccess,具备管理所有阿里云资源的权限,
等待配置进度完成后,保存该账号管理员的RAM用户名和登录密码。
账号管理员创建成功后,后续您可以在RAM控制台对应功能菜单下修改其配置参数。
手动创建
使用阿里云账号(主账号)登录RAM控制台,在左侧导航栏,选择身份管理>用户, 单击创建用户。
输入信息并创建一个RAM用户。
登录名称:为您的管理员起一个名字,例如administrator。
显示名称:一个便于识别的别名,例如管理员。
访问方式:根据实际情况选择。建议您谨慎勾选OpenAPI访问,详情可参考使用访问凭据访问阿里云OpenAPI最佳实践。
MFA:推荐勾选需要开启MFA认证,后续绑定操作可参考为RAM用户绑定MFA设备。
根据界面提示,完成安全验证。
为RAM用户授权
在用户页面,找到目标RAM用户,在操作列单击添加权限。
在新增授权面板,为RAM用户添加系统权限策略AdministratorAccess,该权限策略具备管理所有阿里云资源的权限。
使用RAM用户登录
立即登出主账号。
使用RAM用户登录阿里云控制台。进入RAM用户登录,输入RAM用户名,单击下一步,输入RAM用户密码,单击登录。
从此以后,所有日常的云资源管理、开发、运维等工作,都请使用这个RAM管理员用户进行。