创建RAM角色并授权_访问控制(RAM)-阿里云帮助中心

RAM角色是一种虚拟用户，可以被授予一组权限策略。与RAM用户不同，RAM角色没有永久身份凭证（登录密码或访问密钥），需要被一个可信实体扮演。扮演成功后，可信实体将获得RAM角色的临时身份凭证，即安全令牌（STS Token），使用该安全令牌就能以RAM角色身份访问被授权的资源。

RAM角色类型

根据不同的可信实体，RAM角色分为以下三类：

可信实体为阿里云账号的RAM角色：允许RAM用户扮演的角色。扮演角色的RAM用户可以属于自己的阿里云账号，也可以属于其他阿里云账号。该类角色主要用于解决跨账号访问和临时授权问题。
可信实体为阿里云服务的RAM角色：允许云服务扮演的角色。分为普通服务角色和服务关联角色两种。该类角色主要用于解决跨服务访问问题。
可信实体为身份提供商的RAM角色：允许可信身份提供商下的用户所扮演的角色。该类角色主要用于实现与阿里云的单点登录（SSO）。

步骤一：创建RAM角色

不同类型的RAM角色创建方法略有差异，如下将以创建可信实体为阿里云账号的RAM角色为例为您介绍。更多信息，请参见创建可信实体为阿里云账号的RAM角色、创建可信实体为阿里云服务的RAM角色、创建可信实体为身份提供商的RAM角色。

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 角色。
在角色页面，单击创建角色。
在创建角色页面，选择信任主体类型为云账号，然后设置具体的阿里云账号，最后单击确定。
- 当前云账号：当您允许当前阿里云账号下的所有RAM用户和RAM角色扮演当前正在创建的RAM角色时，您可以选择当前云账号。
- 其他云账号：当您允许其他阿里云账号下的所有RAM用户和RAM角色扮演当前正在创建的RAM角色时，您可以选择其他云账号，然后输入其他阿里云账号（主账号）ID。该项主要针对跨阿里云账号的资源授权访问场景，相关教程，请参见跨阿里云账号的资源授权。您可以在安全设置页面查看阿里云账号（主账号）ID。
（可选）如果您想设置RAM角色只能被可信阿里云账号下的指定RAM用户或RAM角色扮演，您可以单击切换编辑器，在编辑器中修改RAM角色的信任策略。
编辑器支持可视化编辑和脚本编辑两种模式，您可以任选其一。以下示例表示当前创建的RAM角色只能被当前阿里云账号（AccountID=100******0719）下的RAM用户Alice扮演。
- 可视化编辑
  在主体中指定具体的RAM用户名称。
- 脚本编辑
  在Principal的RAM字段中指定具体的RAM用户。
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "RAM": "acs:ram::100******0719:user/Alice"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
在创建角色对话框，输入角色名称，然后单击确定。

步骤二（可选）：创建自定义权限策略

RAM提供了两种权限策略：系统权限策略和自定义权限策略。系统权限策略由阿里云统一提供，不支持修改。如果系统权限策略不能满足您的需求，您可以按需创建自定义权限策略，实现精细化权限管理。

创建自定义权限策略有多种方式，如下将以通过可视化编辑模式创建自定义权限策略为例为您介绍。更多其他方式，请参见创建自定义权限策略。

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。
在创建权限策略页面，单击可视化编辑页签。
配置权限策略。
关于权限策略基本元素的详情，请参见权限策略基本元素。
1. 在效果区域，选择允许或拒绝。
2. 在服务区域，选择云服务。
  说明
  支持可视化编辑模式的云服务以控制台界面显示为准。
3. 在操作区域，选择全部操作或指定操作。
  系统会根据您上一步选择的云服务，自动筛选出可以配置的操作。如果您选择了指定操作，您需要继续选择具体的操作。
4. 在资源区域，选择全部资源或指定资源。
  系统会根据您上一步选择的操作，自动筛选出可以配置的资源类型。如果您选择了指定资源，您需要继续单击添加资源，配置具体的资源ARN。您可以使用匹配全部功能，快速选择对应配置项的全部资源。
  说明
  为了权限策略的正常生效，对操作关联的必要资源ARN标识了必要，强烈建议您配置该资源ARN。
5. 在条件区域，单击添加条件，配置条件。
  条件包括阿里云通用条件和服务级条件，系统会根据您前面配置的云服务和操作，自动筛选出可以配置的条件列表。您只需要选择对应条件键配置具体内容。
6. 单击添加语句，重复上述步骤，配置多条权限策略语句。
单击页面上方的可选：高级策略优化，然后单击执行，对权限策略内容进行高级优化。
高级权限策略优化功能会完成以下任务：
- 拆分不兼容操作的资源或条件。
- 收缩资源到更小范围。
- 去重或合并语句。
在创建权限策略页面，单击确定。
在创建权限策略对话框，输入权限策略名称和备注，然后单击确定。

步骤三：为RAM角色授权

授权时，建议遵循最小化原则，仅授予必要的权限。

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 角色。
在角色页面，单击目标RAM角色操作列的新增授权。
您也可以选中多个RAM角色，单击角色列表下方的新增授权，为RAM角色批量授权。
在新增授权面板，为RAM角色授权。
1. 选择资源范围。
  - 账号级别：权限在当前阿里云账号内生效。
  - 资源组级别：权限在指定的资源组内生效。
    说明
    指定资源组授权生效的前提是该云服务及资源类型已支持资源组，详情请参见支持资源组的云服务。
2. 选择授权主体。
  授权主体即需要添加权限的RAM角色。系统会自动选择当前的RAM角色。
3. 选择权限策略。
  权限策略是一组访问权限的集合。支持批量选中多条权限策略。
  - 系统策略：由阿里云创建，策略的版本更新由阿里云维护，用户只能使用不能修改。更多信息，请参见支持RAM的云服务。
    说明
    系统会自动标识出高风险系统策略（例如：AdministratorAccess、AliyunRAMFullAccess等），授权时，尽量避免授予不必要的高风险权限策略。
  - 自定义策略：由用户管理，策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息，请参见创建自定义权限策略。
4. 单击确认新增授权。
单击关闭。

步骤四：可信实体通过角色扮演的方式访问阿里云

可信实体通过控制台或调用API扮演角色并获取角色的安全令牌。
- 通过控制台扮演RAM角色
- 通过调用API扮演RAM角色
可信实体通过角色身份访问被授权的云资源。