如何通过RAM配置阿里云验证码权限控制_验证码(Captcha)-阿里云帮助中心

验证码支持阿里云访问控制（RAM）服务，您可以通过RAM的用户、用户组、角色、权限策略实现对验证码的权限控制。

控制台登录与编程访问分离

在业务中集成验证码能力，通常您需要在先控制台创建业务配置，然后在您的业务前端和服务端分别集成验证码提供的功能接入代码。

在服务端集成验证码功能接入代码时，需要您填写访问密钥（AccessKey）参数信息，供验证码服务端验证您的身份。

通过创建不同的RAM用户，可以实现控制台登录与编程访问权限分离，即为创建业务配置与服务端调用设置不同的用户，更好地实现人员权限管控。您只需在创建RAM用户时为两个用户分别单独选择OpenAPI调用访问和控制台访问即可：

选择OpenAPI调用访问方式的RAM用户，仅支持业务服务端的验证码调用。
选择控制台访问方式的RAM用户，支持在验证码控制台中管理业务配置。
说明
您还可以为该用户开启多因素认证（MFA），进一步提升用户访问安全性。

关于创建RAM用户的具体操作步骤，请参见创建RAM用户。

功能权限控制

RAM提供系统默认权限策略AliyunYundunAFSFullAccess用于管理用户通过控制台访问或通过编程调用验证码服务接口，您只需为相关的RAM用户授予该权限，该RAM用户即可正常使用验证码。

说明

系统默认权限策略AliyunYundunAFSFullAccess的授权粒度为服务级别，即拥有该权限的用户可以使用验证码产品提供的所有功能。

如果您期望设置更细粒度的权限控制，您可以通过创建自定义策略的方式实现。例如，您可以创建包含以下策略内容的自定义策略，实现验证码业务配置只读权限：

{
    "Version": "1",
    "Statement": [
        {
            "Action": "yundun-afs:Describe*",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

创建该自定义权限策略并为指定RAM用户授予该权限后，该用户在控制台中将只能查看业务配置，无法创建配置、修改配置、设置自定义样式、设置预警，也无法使用该账号的AccessKey调用验证码接口。

关于创建自定义权限策略和用户授权的具体操作步骤，请参见创建自定义权限策略和为RAM用户授权。