业务空间授权

功能概述

RAM(Resource Access Management)用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。您可以创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。当您的企业存在多用户协同访问资源的场景时,使用RAM可以按需为用户分配最小权限,避免多用户共享阿里云账号密码或访问密钥,从而降低企业的安全风险。

功能实现

要实现创建并给有关RAM用户授权业务空间的权限,需要完成以下三个步骤:

  1. 创建RAM用户;

  2. 为RAM用户授予管理云小蜜(智能对话机器人)服务的权限;

    说明

    授予管理云小蜜权限后,有关RAM用户即可登录智能对话机器人,但无法查看到有关具体业务空间数据,需要进一步完成对有关RAM用户的业务空间授权。

  1. 为RAM用户授予管理有关业务空间权限;

创建RAM用户

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏,选择身份管理>用户。

  3. 在用户页面,单击创建用户。

image.png

  1. 在创建用户页面的用户账号信息区域,设置用户基本信息。

  • 登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。

  • 显示名称:最多包含128个字符或汉字。

  • 可选:标签:您可以单击,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。

    说明

    单击添加用户,可以批量创建多个RAM用户。

  1. 在访问方式区域,选择访问方式,然后设置对应参数。

为了账号安全,建议您只选择以下访问方式中的一种,将人员用户和应用程序用户分离,避免混用。

  • 控制台访问:

    • 如果RAM用户代表人员,建议启用控制台访问,使用用户名和密码访问阿里云。启用后,您需要设置以下参数:

      • 控制台密码:选择自动生成密码或者自定义密码。自定义登录密码时,密码必须满足密码复杂度规则。更多信息,请参见设置RAM用户密码强度

      • 密码重置策略:选择在下次登录时是否需要重置密码。

      • 多因素认证(MFA)策略:选择是否为当前RAM用户启用MFA。选择启用MFA后,RAM用户登录控制台时,需要绑定MFA设备。更多信息,请参见为RAM用户绑定MFA设备

  • OpenAPI调用访问

    • 如果RAM用户代表应用程序,建议启用OpenAPI调用访问,使用访问密钥(AccessKey)访问阿里云。启用后,系统会自动为RAM用户生成一个AccessKey ID和AccessKey Secret。更多信息,请参见创建AccessKey

image.png

  1. 单击确定

授予RAM用户管理云小蜜权限

重要

授予管理云小蜜权限后,有关RAM用户即可登录智能对话机器人,但无法查看到有关具体业务空间数据,需要进一步完成对有关RAM用户的业务空间授权。

  1. 使用阿里云账号登录RAM控制台。在左侧导航栏,选择身份管理>用户。在用户页面,单击目标RAM用户操作列的添加权限

  1. 在系统策略下面的搜索框搜索“管理云小蜜权限”,鼠标单击名称,点击确定即可。

  • 选择授权应用范围:整个云账号(表示权限在当前阿里云账号内生效)。

    说明

    应用范围为指定资源组表示权限在指定的资源组内生效。指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务

  • 输入授权主体:授权主体即需要添加权限的RAM用户。

  • 选择权限策略:系统策略下面的搜索框搜索“管理云小蜜权限”。

  1. 创建之后的RAM用户账号即可在RAM用户登录界面登录。

image.png

授予RAM用户管理有关业务空间权限

重要
  • 若开启自动授权默认业务空间功能,系统默认为每个子用户自动授权默认业务空间,之后若需关闭则需要主账号在用户管理页面对子账号设置业务范围。自动授权默认业务空间默认开启,点击该按钮即可关闭。

  • 在RAM控制台创建完的RAM账号没有登录过智能对话机器人控制台的话,是不会在智能对话机器人控制台显示的,有两种方式使其显示:一种是登录RAM账号进入一次智能对话机器人控制台,另一种是主账号在用户管理里面点击“新增用户”按钮,手动添加一下新增的RAM账号。

  • 有关业务空间中更具体的功能和数据权限授予可参考《系统管理》。

  1. 使用主账号登录阿里云官网之后,进入智能对话机器人控制台>系统管理>用户管理,点击RAM用户账号后面的“权限编辑”按钮;

image.png

  1. 进入编辑用户界面,在“业务范围”里面给RAM用户账号授予业务空间权限

    说明
    • 角色:可以根据角色划分来控制各功能节点的权限,有关角色的具体介绍参考《角色管理》。

    • 数据权限:即有关功能下具体业务数据的管理权限。

image.png