您可以创建一个RAM用户作为账号管理员,替代阿里云账号(主账号)执行云上操作。账号管理员拥有AdministratorAccess权限,可管理所有阿里云资源。
为什么要创建账号管理员
阿里云账号(主账号)对账号中的资源具有完全管理权限,且无法调整其权限大小,多人共用时无法在审计日志中区分出具体使用人,一旦泄露风险极大且难以追溯。强烈建议您不要使用阿里云账号(主账号)进行日常运维管理。您可以创建一个RAM用户并授予AdministratorAccess权限后作为账号管理员,该账号管理员同样可以对账号下所有云资源进行管控操作并能够有效规避使用风险。您可以按人员分配账号,也可在管理员账号泄漏后立即冻结账号。
如何创建账号管理员
快速创建
步骤一:创建账号管理员并授权
-
使用阿里云账号(主账号)登录RAM控制台,在概览页面,单击快速开始>账号管理员。
-
查看账号管理员的配置参数,单击执行配置。
该账号管理员默认启用控制台访问方式,绑定系统策略AdministratorAccess,具备管理所有阿里云资源的权限。
默认登录名称为 administrator,且已勾选 下次登录重置密码。
-
等待配置进度完成后,保存该账号管理员的RAM用户名和登录密码。
账号管理员创建成功后,后续您可以在RAM控制台对应功能菜单下修改其配置参数。
步骤二:使用RAM用户登录阿里云控制台
-
使用新创建的RAM用户登录阿里云控制台。
说明RAM用户登录页面与阿里云账号(主账号)登录页面不同。更多信息,请参见RAM用户登录阿里云控制台。
-
在RAM用户登录页面的RAM用户名密码登录页签,输入RAM用户名,单击下一步。
-
输入RAM用户的登录密码,单击登录。
说明为保证RAM用户的账号安全,控制台登录或在控制台进行敏感操作时除使用用户名和密码验证外,您还可以绑定MFA设备,用于二次身份验证。具体操作,请参见RAM用户自行绑定MFA设备。
默认登录名称为 administrator,且已勾选 下次登录重置密码。
手动创建
步骤一:创建RAM用户
-
使用阿里云账号(主账号)登录RAM控制台,在左侧导航栏,选择身份管理>用户, 单击创建用户。
-
创建一个名为administrator的RAM用户。在用户账号信息区域,设置登录名称和显示名称为
administrator。在访问方式区域,勾选控制台访问。设置密码选择自动生成密码,勾选用户在下次登录时必须重置密码,MFA 多因素认证选择需要开启 MFA 认证,然后单击确定。 -
根据界面提示,完成安全验证。
步骤二:为RAM用户授权
-
在用户页面,找到目标RAM用户,在操作列单击添加权限。
-
在新增授权面板,为RAM用户添加系统权限策略AdministratorAccess,该权限策略具备管理所有阿里云资源的权限。
将资源范围设置为账号级别,然后单击确认新增授权。
步骤三:RAM用户登录阿里云控制台
-
使用新创建的RAM用户登录阿里云控制台。
说明RAM用户登录页面与阿里云账号(主账号)登录页面不同。更多信息,请参见RAM用户登录阿里云控制台。
-
在RAM用户登录页面的RAM用户名密码登录页签,输入RAM用户名,单击下一步。
-
输入RAM用户的登录密码,单击登录。
说明为保证RAM用户的账号安全,控制台登录或在控制台进行敏感操作时除使用用户名和密码验证外,您还可以绑定MFA设备,用于二次身份验证。具体操作,请参见RAM用户自行绑定MFA设备。