通过RAM配置验证码权限控制

控制台登录与编程访问分离

在业务中集成验证码能力，通常您需要在先控制台创建业务配置，然后在您的业务前端和服务端分别集成验证码提供的功能接入代码。

在服务端集成验证码功能接入代码时，需要您填写访问密钥（AccessKey）参数信息，供验证码服务端验证您的身份。

通过创建不同的RAM用户，可以实现控制台登录与编程访问权限分离，即为创建业务配置与服务端调用设置不同的用户，更好地实现人员权限管控。您只需在创建RAM用户时为两个用户分别单独选择OpenAPI调用访问和控制台访问即可：

• 选择OpenAPI调用访问方式的RAM用户，仅支持业务服务端的验证码调用。

• 选择控制台访问方式的RAM用户，支持在验证码控制台中管理业务配置。

  说明

  您还可以为该用户开启多因素认证（MFA），进一步提升用户访问安全性。

关于创建RAM用户的具体操作步骤，请参见创建RAM用户。

功能权限控制

验证码2.0提供系统默认权限策略和自定义权限策略，满足您不同使用场景下的需求。

系统默认权限策略

AliyunYundunAFSFullAccess

RAM提供系统默认权限策略AliyunYundunAFSFullAccess用于管理用户通过控制台访问或通过编程调用验证码服务接口，您只需为相关的RAM用户授予该权限，该RAM用户即可正常使用验证码。

AliyunYundunAFSReadOnlyAccess

只读管理验证码（Captcha）的权限。用户在控制台中将只能查看业务配置，无法创建配置、修改配置、设置自定义样式、设置预警，也无法使用该账号的AccessKey调用验证码接口。

自定义权限策略

只能发起验证请求，创建自定义权限策略实现最小授权。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "yundun-afs:VerifyCaptcha",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

关于创建自定义权限策略和用户授权的具体操作步骤，请参见创建自定义权限策略和为RAM用户授权。