如何创建RAM用户并为RAM用户授权_访问控制(RAM)-阿里云帮助中心

资源编排服务ROS（Resource Orchestration Service）支持通过创建资源栈的方式快速创建RAM用户并为RAM用户授权。

背景信息

当您使用RAM控制台创建RAM用户，并为RAM用户授权时，需要多个操作步骤，而ROS可以帮助您快速完成此操作，提升效率。关于RAM用户的更多信息，请参见RAM用户概览。

步骤一：编辑模板

通过以下模板创建RAM用户、创建自定义策略、创建访问密钥AK（AccessKey）及为RAM用户授权。

关于资源类型的更多信息，请参见资源类型索引。

ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  UserName:
    Type: String
    Description: 自定义RAM用户名称
    Label:
      zh-cn: RAM用户名称
      en: RAM User Name
  PolicyName:
    Type: String
    Description: 自定义策略名称
    Label:
      zh-cn: RAM策略名称
      en: RAM Policy Name
  Action:
    Default:
      - vpc:*
    Type: Json
    Description:
      zh-cn: 该策略定义的对产品服务的操作。更多信息，请参见<a href='https://help.aliyun.com/document_detail/93738.html'>权限策略基本元素</a>。
      en: The operation of products and services defined by the strategy, Resources for operations, refer to <a href='https://www.alibabacloud.com/help/doc-detail/93738.htm'>Policy elements</a> for more info.
    Label:
      zh-cn: 策略自定义操作
      en: PolicyAction
  Effect:
    Default: Allow
    AllowedValues:
      - Allow
      - Deny
    Type: String
    Description:
      zh-cn: 允许/拒绝对资源的操作
      en: Allow/Deny Action for Resource
    Label:
      zh-cn: 策略权限效力
      en: Authority
  Resource:
    Default:
      - '*'
    Type: Json
    Description:
      zh-cn: 适用于操作的资源。更多信息，请参见<a href='https://help.aliyun.com/document_detail/93738.html'>权限策略基本元素</a>。
      en: Resources for operations, refer to <a href='https://www.alibabacloud.com/help/doc-detail/93738.htm'>Policy elements</a> for more info.
    Label:
      zh-cn: 策略自定义资源
      en: Resource
Resources:
  ManagedPolicy:
    Type: ALIYUN::RAM::ManagedPolicy
    Properties:
      PolicyName:
        Ref: PolicyName
      PolicyDocument:
        Version: '1'
        Statement:
          - Action:
              Ref: Action
            Resource:
              Ref: Resource
            Effect:
              Ref: Effect
  RamAK:
    Type: ALIYUN::RAM::AccessKey
    Properties:
      UserName:
        Fn::GetAtt:
          - RamUser
          - UserName
    DependsOn: RamUser
  RamUser:
    Type: ALIYUN::RAM::User
    Properties:
      UserName:
        Ref: UserName
  AttachPolicyToUser:
    DependsOn:
      - ManagedPolicy
      - RamUser
    Type: ALIYUN::RAM::AttachPolicyToUser
    Properties:
      PolicyType: Custom
      UserName:
        Fn::GetAtt:
          - RamUser
          - UserName
      PolicyName:
        Fn::GetAtt:
          - ManagedPolicy
          - PolicyName
Outputs:
  AKSecret:
    Value:
      Fn::GetAtt:
        - RamAK
        - AccessKeySecret
  AKId:
    Value:
      Fn::GetAtt:
        - RamAK
        - AccessKeyId
  UserId:
    Value:
      Fn::GetAtt:
        - RamUser
        - UserId

步骤二：创建资源栈

登录资源编排控制台。
在左侧导航栏，单击资源栈。
在顶部菜单栏的地域下拉列表，选择资源栈的所在地域，例如：华东1（杭州）。
在资源栈列表页面，单击创建资源栈，然后在下拉列表中选择使用ROS。
在选择模板页面，选择已有模板，选择模板录入方式为输入模板，输入步骤一中YAML格式的模板，然后单击下一步。

在配置参数页面，输入资源栈名称，并配置参数。

如下将提供一个示例，创建一个名为vpc-dev的RAM用户，为其绑定自定义策略vpcDevPolicy，使其具备VPC的完全管理权限，同时系统自动生成一个访问密钥AK（AccessKey）。

参数	说明	示例
RAM用户名称	RAM用户的自定义名称。更多信息，请参见RAM用户概览。	vpc-dev
RAM策略名称	权限策略名称。更多信息，请参见权限策略概览。	vpcDevPolicy
策略自定义操作	权限策略对具体资源的操作。更多信息，请参见权限策略基本元素。	["vpc:"] 说明 `["vpc:"]`代表VPC的完全管理权限。
策略权限效力	权限策略授权效力。取值： Allow：允许。 Deny：拒绝更多信息，请参见权限策略基本元素。	Allow
策略自定义资源	权限策略被授权的具体对象。更多信息，请参见权限策略基本元素。	[""] 说明 `[""]`代表所有资源。

单击创建。
资源栈创建成功后，您可以登录RAM控制台查看RAM用户基本信息、访问密钥AK（AccessKey）和权限策略。