本文介绍如何创建RAM用户。为避免产生项目数据安全性问题,推荐创建RAM用户并交由其他实际用户使用,通过RAM严格把控参与MaxCompute项目的人员权限。
RAM用户介绍
访问控制(Resource Access Management,RAM)是阿里云提供的集中管理用户身份与资源访问权限的服务。通过RAM,可创建并管理多种身份,并为其授予精细化权限,从而实现对云资源的安全访问。
RAM用户归属于阿里云账号,本身不拥有资源,也没有独立的计量计费机制。
RAM用户在阿里云各产品中操作产生的费用,将在RAM用户归属的阿里云账号下统一计费。
操作流程
步骤一:创建RAM用户
登录RAM控制台。
在左侧导航栏选择。
在用户页面,单击创建用户。
在创建用户页面,配置用户信息。
在用户账号信息区域,配置如下信息:
登录名称:格式为英文字母、数字、“.”、“_”或“-”,最多包含128个字符。
显示名称:最多包含128个字符或汉字。
标签:为RAM用户绑定标签,便于后续基于标签的用户管理。
添加用户:可选。单击添加用户,可以批量创建多个RAM用户。
在访问方式区域,配置如下信息:
控制台访问:设置控制台登录密码、重置密码策略和多因素认证策略。
使用永久AccessKey访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。
单击确定,完成创建。
在完成创建的用户信息页面,单击下载 CSV 文件或单击操作列的复制,保存RAM用户的登录名称和登录密码。
步骤二:创建访问密钥AccessKey
如果阿里云账号允许RAM用户自主管理AccessKey,RAM用户也可以自行创建AccessKey,一个RAM用户最多可以创建2个AccessKey,操作步骤如下。
登录RAM控制台。
在左侧导航栏选择。
在用户页面,单击目标用户登录名称/显示名称,进入用户详情页面。
在用户详情页面,单击认证管理页签。
在认证管理页签下的AccessKey区域,单击创建AccessKey。
在弹出的确认当前 AccessKey 用于轮转对话框中,阅读AccessKey使用场景及使用建议,遵从使用建议选择更合适的凭据方案。选择对应使用场景后,勾选我确认必须创建AccessKey,然后单击继续创建。
根据界面提示完成安全验证,并保存好AccessKey ID和AccessKey Secret。
更多自主管理AccessKey操作,请参见管理RAM用户安全设置。
(可选)步骤三:为RAM用户授权
在左侧导航栏选择。
在用户页面,单击目标用户登录名称/显示名称对应操作列的添加权限。
在弹出的新增授权面板中,选择要授予该用户的权限策略,单击确认新增授权。
也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。
资源范围
指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
授权主体:授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。
权限策略:权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。
系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授权时,尽量避免授予不必要的高风险权限策略。
在权限策略名称列表下选择需要权限策略,添加至已选择权限列表。
如果后续RAM用户需要自主开通MaxCompute服务,需要阿里云账号授予RAM用户AliyunBSSOrderAccess权限。
AliyunDataWorksFullAccess:RAM账号开通MaxCompute服务、通过旧版控制台新增、删除项目需要授权此策略。
AliyunMaxComputeFullAccess:RAM账号通过MaxCompute新版控制台进行项目、Quota管理可授权此策略,或自定义权限策略。新版控制台对接RAM的权限点请参见RAM权限。
步骤四:将RAM用户账号交由其他用户使用
将创建的RAM用户账号交由其他用户使用时,需要提供如下信息:
RAM用户的账号信息,包括:
RAM用户登录的方式与登录链接。
RAM用户可以在通用登录链接或专属登录地址中输入账号信息登录阿里云控制台,详情请参见RAM用户登录阿里云控制台。
RAM用户所属阿里云账号的域名。
登录RAM控制台。在左侧导航栏单击概览,在基础信息区域获取默认域名。
后续步骤
准备好RAM用户后,即可开通MaxCompute服务,请参见开通MaxCompute和DataWorks。