创建RAM用户并授权

前提条件

您已为阿里云账号（主账号）创建了至少一个RAM用户。具体操作，请参见创建RAM用户。

操作步骤

1. 使用管理员账户登录RAM控制台。

   RAM支持以下两种权限策略：

   • 阿里云管理的系统策略：统一由阿里云创建，用户只能使用不能修改，策略的版本更新由阿里云维护。

   • 客户管理的自定义策略：用户可以自主创建、更新和删除，策略的版本更新由客户自己维护。

2. （可选）创建自定义权限策略。

   如果阿里云提供的系统权限策略不能满足您的要求，您可以参考应用授权规则列表创建自定义权限策略实现最小授权，以实现权限的精细化管控。具体操作，请参见创建自定义权限策略。

   最小常见组合权限示例

   使用RAM账号登录访问OpenSearch-LLM智能问答版控制台，最小常见组合权限包括应用列表权限、应用详情权限等，以下给出参考示例。

   示例一：实例列表权限

   RAM账号登录后，需要查看控制台实例列表，您可以设置如下权限策略。

   {
     "Version": "1",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "opensearch:ListAppGroup",
         "Resource": "acs:opensearch:*:*:app-groups/*"
       }
     ]
   }

   示例二：实例详情权限

   RAM账号登录后，需要查看某个实例的应用详情，您可以设置如下权限策略来查看实例名称为app_schema_demo的实例详情：

   {
     "Version": "1",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "opensearch:ListAppGroup",
         "Resource": "acs:opensearch:*:*:app-groups/*"
       },
       {
         "Effect": "Allow",
         "Action": ["opensearch:DescribeAppGroup",
                     "opensearch:ListApp"],
         "Resource": "acs:opensearch:*:*:app-groups/app_schema_demo"
       }
     ]
   }

3. 为RAM用户授权。

   将系统策略或已创建的自定义权限策略授权给RAM用户，使其拥有相关的资源访问或操作权限。具体操作，请参见为RAM用户授权。对RAM用户设置或更新权限配置后，延迟5分钟后生效。

4. 完成授权后，RAM用户即可登录控制台操作OpenSearch。

   具体操作，请参见RAM用户登录阿里云控制台。

相关文档

• 您可以查看RAM用户的个人权限和查看RAM用户继承用户组的权限。具体操作，请参见查看RAM用户的权限。

• 当RAM用户不再需要某些权限或离开组织时，可以将这些权限移除。具体操作，请参见为RAM用户移除权限。

• 您可以查看RAM用户支持的多因素认证方式、使用说明和使用限制说明。更多信息，请参见什么是MFA。