业务空间授权

功能概述

RAM(Resource Access Management)用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。您可以创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。当您的企业存在多用户协同访问资源的场景时,使用RAM可以按需为用户分配最小权限,避免多用户共享阿里云账号密码或访问密钥,从而降低企业的安全风险。

功能实现

重要

若您业务中暂无运用子账号使用产品的需求,则直接用主账号登录产品控制台使用即可,无需进行以下操作。

要实现创建并给有关RAM用户授权业务空间的权限,需要完成以下三个步骤:

  1. 创建RAM用户;

  2. 为RAM用户授予管理云小蜜(智能对话机器人)服务的权限;

    说明

    授予管理云小蜜权限后,有关RAM用户即可登录智能对话机器人,但无法查看到有关具体业务空间数据,需要进一步完成对有关RAM用户的业务空间授权。

  3. 为RAM用户授予管理有关业务空间权限;

创建RAM用户

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏,选择身份管理>用户

  3. 在用户页面,单击创建用户

image

  1. 在创建用户页面的用户账号信息区域,设置用户基本信息。

  • 登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。

  • 显示名称:最多包含128个字符或汉字。

  • 可选:标签:您可以单击,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。

    说明

    单击添加用户,可以批量创建多个RAM用户。

  1. 在访问方式区域,选择访问方式,然后设置对应参数。

为了账号安全,建议您只选择以下访问方式中的一种,将人员用户和应用程序用户分离,避免混用。

  • 控制台访问:

    • 如果RAM用户代表人员,建议启用控制台访问,使用用户名和密码访问阿里云。启用后,您需要设置以下参数:

      • 控制台密码:选择自动生成密码或者自定义密码。自定义登录密码时,密码必须满足密码复杂度规则。更多信息,请参见设置RAM用户密码强度

      • 密码重置策略:选择在下次登录时是否需要重置密码。

      • 多因素认证(MFA)策略:选择是否为当前RAM用户启用MFA。选择启用MFA后,RAM用户登录控制台时,需要绑定MFA设备。更多信息,请参见为RAM用户绑定MFA设备

  • OpenAPI调用访问

    • 如果RAM用户代表应用程序,建议启用OpenAPI调用访问,使用访问密钥(AccessKey)访问阿里云。启用后,系统会自动为RAM用户生成一个AccessKey ID和AccessKey Secret。更多信息,请参见创建AccessKey

image

  1. 单击确定

授予RAM用户管理云小蜜权限

重要

授予管理云小蜜权限后,有关RAM用户即可登录智能对话机器人,但无法查看到有关具体业务空间数据,需要进一步完成对有关RAM用户的业务空间授权。

  1. 使用阿里云账号登录RAM控制台。在左侧导航栏,选择身份管理>用户。在用户页面,单击目标RAM用户操作列的添加权限

  1. 在系统策略下面的搜索框搜索“管理云小蜜的权限”,鼠标单击名称,点击确定即可。

  • 资源范围:账号级别(表示权限在当前阿里云账号内生效)。

    说明

    应用范围为资源组级别表示权限在指定的资源组内生效。指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务

  • 授权主体:授权主体即需要添加权限的RAM用户。

  • 权限策略:在系统策略下面的搜索框搜索“管理云小蜜的权限”。image

    说明

    若您在实际业务中,还需要授权RAM用户单独管理续费权限,授予有关用户AliyunBSSOrderAccess系统权限策略即可。image

  1. 创建之后的RAM用户账号即可在RAM用户登录界面登录。

image.png

授予RAM用户管理有关业务空间权限

重要
  • 若开启自动授权默认业务空间功能,系统默认为每个子用户自动授权默认业务空间,之后若需关闭则需要主账号在用户管理页面对子账号设置业务范围。自动授权默认业务空间默认开启,点击该按钮即可关闭。

  • 在RAM控制台创建完的RAM账号没有登录过智能对话机器人控制台的话,是不会在智能对话机器人控制台显示的,有两种方式使其显示:一种是登录RAM账号进入智能对话机器人控制台,另一种是主账号在用户管理里面点击“新增用户”按钮,手动添加一下新增的RAM账号。

  • 有关业务空间中更具体的功能和数据权限授予可参考《系统管理》。

路径一:在云智能客服下的用户管理处进行权限编辑

重要
  • 敏捷版(通义版)不具有系统管理功能,有关用户管理需要在云智能客服下的智能对话机器人云智能客服-智能对话机器人-用户管理处完成。且默认情况下的用户拥有对应业务空间下的所有功能和数据权限,不可修改。

  • 敏捷版(通义版)只能使用路径一进行权限编辑

  1. 使用主账号登录阿里云官网之后,进入智能对话机器人云智能客服-智能对话机器人-用户管理,点击RAM用户账号后面的“权限编辑”按钮;

image.png

  1. 进入编辑用户界面,在“业务范围”里面给RAM用户账号授予业务空间权限

    a. 业务范围:选择需要授权的对应业务空间。

    b. 角色:可以根据角色划分来控制各功能节点的权限,有关角色的具体介绍参考《角色管理》。

    c. 数据权限:即有关功能下具体业务数据的管理权限。

image.png

路径二:在智能对话机器人下的用户管理处进行权限编辑

  1. 在智能对话机器人下,选择对应的业务空间,在用户管理页面内,点击新增用户

image

  1. 按照要求选择需要对应RAM用户,填写用户名称,点击保存,继续配置权限

image

  1. 选择角色和数据权限,点击完成,即可完成配置。

image

常见问题

  • 问题描述:

    当用户出现如图所示的功能菜单详情时:image

    用户想要扩大功能菜单的权限范围时:image

  • 处理方式:可以参考本文档中”授予RAM用户管理有关业务空间权限“的操作说明进行配置相关RAM用户的角色。