使用RAM进行访问控制

身份管理

为确保您的阿里云账号及云资源的使用安全，我们建议尽量避免直接使用阿里云主账号来访问API网关。更推荐以安全方式：使用RAM身份（即RAM用户和RAM角色）来进行访问。这种方法不仅提升了安全性，还便于进行更精细的权限管理。详细内容包括：

• 什么是RAM用户。

• RAM用户相关操作。

• RAM用户组。

• RAM用户组相关操作。

• RAM角色。

• RAM角色相关操作。

• 身份管理相关文档。

具体详情，请参见身份管理。

基于身份的策略

权限策略通过语法结构描述授权的资源、操作和条件。阿里云访问控制（RAM）提供系统策略和自定义策略两种类型。系统策略由阿里云创建和维护，用户仅可使用；自定义策略由用户创建和管理。

• API 网关系统权限策略参考

  在产品迭代过程中API网关会向系统策略中添加新权限以支持新功能，系统策略的更新会影响所有授予了该策略的RAM身份，包括RAM用户、RAM用户组和RAM角色。

• API 网关自定义权限策略参考

  如果系统权限策略不能满足您的要求，您可以创建自定义权限策略实现最小授权。自定义权限策略有助于更精细地管控权限，是提升资源访问安全性的有效手段。通过这种方式，您可以确保在满足特定业务需求的同时，最大程度地保护您的资源安全。

具体详情，请参见基于身份的策略。

ApiGateway服务关联角色

服务关联角色是在用户配置API后端为函数计算时，提供的RAM角色。API网关能够通过服务关联角色功能获取访问权限，从而访问用户的函数计算。详细内容包括：

• ApiGateway服务关联角色的应用场景。

• AliyunServiceRoleForApiGateway介绍。

• 如何删除ApiGateway服务关联角色。

具体详情，请参见ApiGateway服务关联角色。