RAM子账号创建授权

更新时间:2025-01-07 01:47:05

磐曦智创-RAM子账号创建授权流程

背景

阿里云账号(主账号)对账号中的资源具有完全管理权限,且无法调整其权限大小,多人共用时无法在审计日志中区分出具体使用人,一旦泄露风险极大且难以追溯。强烈建议您不要使用阿里云账号(主账号)进行日常运维管理。您可以创建一个RAM用户并授予AdministratorAccess权限后作为账号管理员,该账号管理员同样可以对账号下所有云资源进行管控操作并能够有效规避使用风险。您可以按人员分配账号,也可在管理员账号泄漏后立即冻结账号。在主账号下创建多个子账号,可实现已购买产品多个账号使用,让产品使用更安全便捷。

RAM用户即RAM账号,是RAM的一种实体身份类型。您可以在阿里云账号(主账号)下创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。

RAM子账号创建步骤

  1. 使用阿里云账号(主账号)或RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击创建用户

    image

  4. 创建用户页面的用户账号信息区域,设置用户基本信息。

    • 登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。

    • 显示名称:最多包含128个字符或汉字。

    • 标签:单击edit,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。

    说明

    单击添加用户,可以批量创建多个RAM用户。

  5. 访问方式区域,选择访问方式,然后设置对应参数。

    为了账号安全,建议您只选择以下访问方式中的一种,将人员用户和应用程序用户分离,避免混用。

    • 控制台访问

      如果RAM用户代表人员,建议启用控制台访问,使用用户名和登录密码访问阿里云。您需要设置以下参数:

      • 控制台登录密码:选择自动生成密码或者自定义密码。自定义登录密码时,密码必须满足密码复杂度规则。更多信息,请参见设置RAM用户密码强度

      • 密码重置策略:选择RAM用户在下次登录时是否需要重置密码。

      • 多因素认证(MFA)策略:选择是否为当前RAM用户启用MFA。启用MFA后,还需要绑定MFA设备。更多信息,请参见RAM用户绑定MFA设备

    • 使用永久AccessKey访问

      如果RAM用户代表应用程序,您可以使用永久访问密钥(AccessKey)访问阿里云。启用后,系统会自动为RAM用户生成一个AccessKey IDAccessKey Secret。更多信息,请参见创建AccessKey

      重要

      • RAM用户的AccessKey Secret只在创建时显示,不支持查看,请妥善保管。

      • 访问密钥(AccessKey)是一种长期有效的程序访问凭证。AccessKey泄露会威胁该账号下所有资源的安全。建议优先采用STS Token临时凭证方案,降低凭证泄露的风险。更多信息,请参见使用访问凭据访问阿里云OpenAPI最佳实践

  6. 单击确定

  7. 根据界面提示,完成安全验证。

RAM子账号授权

根据阿里云安全要求,子账号(即普通账号)默认不具备任何权限。子账号功能权限方面不支持权限配置,同时数据权限受限,默认对自己账号产生的数据、管理员账号产生的公共数据(数字人和声音资产除外)有权限。主账号(即管理员)有最高权限,支持所有功能和数据管理权限。

对于已创建的 RAM 用户,在正常使用前,需要对其进行访问资源授权

如果您需要通过登录子账号使用任意阿里云产品,都需要先由其所属的主账号对该子账号进行相应的授权操作。

以下介绍主账号为子账号授权使用磐曦平台的流程。

操作步骤

  1. 登录主账号,进入用户列表页:https://ram.console.aliyun.com/users

  2. 点击对应子账号用户的添加授权按钮

image.png

  1. 在系统策略里找到管理营销引擎(imarketing)的权限(AliyunImarketingFullAccess),并添加授权

image.png

  1. 授权后该子账号即可正常使用磐曦平台

image.png

  • 本页导读 (0)
  • 背景
  • RAM子账号创建步骤
  • RAM子账号授权
  • 操作步骤
AI助理

点击开启售前

在线咨询服务

你好,我是AI助理

可以解答问题、推荐解决方案等