借助访问控制RAM(Resource Access Management)的RAM用户,您可以实现权限分割,按需为RAM用户赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。
前提条件
背景信息
出于安全考虑,您可以为阿里云账号(主账号)创建RAM用户,并根据需要为这些RAM用户赋予不同的权限,这样就能在不暴露主账号密钥的情况下,实现让RAM用户各司其职的目的。
在本文中,假设企业A希望让部分员工处理日常运维工作,则企业A可以创建RAM用户,并为RAM用户赋予相应权限,此后员工即可使用这些RAM用户登录控制台。
步骤一:创建RAM用户
操作步骤
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在用户页面,单击创建用户。
在创建用户页面的用户账号信息区域,设置用户基本信息。
登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。
显示名称:最多包含128个字符或汉字。
标签:单击,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。
说明单击添加用户,可以批量创建多个RAM用户。
在访问方式区域,选择访问方式,然后设置对应参数。
为了账号安全,建议您只选择以下访问方式中的一种,将人员用户和应用程序用户分离,避免混用。
控制台访问
如果RAM用户代表人员,建议启用控制台访问,使用用户名和登录密码访问阿里云。您需要设置以下参数:
控制台登录密码:选择自动生成密码或者自定义密码。自定义登录密码时,密码必须满足密码复杂度规则。更多信息,请参见设置RAM用户密码强度。
密码重置策略:选择RAM用户在下次登录时是否需要重置密码。
多因素认证(MFA)策略:选择是否为当前RAM用户启用MFA。启用MFA后,主账号还需要为RAM用户绑定MFA设备或RAM用户自行绑定MFA设备。更多信息,请参见为RAM用户绑定MFA设备。
OpenAPI调用访问
如果RAM用户代表应用程序,建议启用OpenAPI调用访问,使用访问密钥(AccessKey)访问阿里云。启用后,系统会自动为RAM用户生成一个AccessKey ID和AccessKey Secret。更多信息,请参见创建AccessKey。
重要RAM用户的AccessKey Secret只在创建时显示,不支持查看,请妥善保管。
单击确定。
根据界面提示,完成安全验证。
步骤二:为RAM用户授予PTS控制台权限
RAM用户默认对PTS控制台不具备任何操作权限。若想使RAM用户拥有PTS控制台的操作权限(包括只读权限和读写权限),您需要使用阿里云账号(主账号)登录PTS控制台,并在应用权限管理页面为目标RAM用户授予相应权限。具体操作,请参见管理账号权限。
创建和删除服务关联角色
当PTS检测到您没有授予PTS访问您的云资源权限时,会提示您授权PTS自动创建一个服务关联角色(AliyunServiceRoleForPts),允许PTS拥有对您云资源相应的访问权限。
角色名称:AliyunServiceRoleForPts
角色权限策略:AliyunServiceRolePolicyForPts
角色权限说明:允许PTS拥有对您云资源相应的访问权限,包括ACK、ECS、ENI、RDS、SLB、VPC等。
如果您需要删除AliyunServiceRoleForPts,请在RAM控制台删除此服务关联角色。
删除服务关联角色后会影响您VPC网络的压测和云产品(包括RDS、ECS、SLB等)数据的获取,若删除角色后仍需使用到VPC或云监控功能,系统会提示您创建服务关联角色。更多关于创建和删除服务关联角色的信息,请参见服务关联角色。
- 本页导读 (1)