本指南将帮助你快速创建RAM用户并安全地分配权限,实现云资源的精细化访问控制。
为什么需要RAM用户?
阿里云主账号类似于Linux系统中的root用户,权限极大,但不适合日常使用。当您的企业有多位员工需要协同操作云资源时,建议您采用访问控制(RAM)在主账号下创建多个RAM用户,并为每个用户分配最少的、满足其工作所需的权限。
对比项 | 主账号 | RAM用户 |
身份角色 | 资源的拥有者,拥有全部资产和最高权限。 | 资源和服务的使用者,权限由主账号授予,通常与某个确定的人或应用程序对应。 |
是否拥有云资源 | 是 | 否,资源归属主账号 |
默认权限 | 全部权限,不可限制。 | 默认无任何权限,需主账号授权。 |
使用建议 | 仅用于授权、付费、账号管理等关键管理操作。 | 日常开发、运维,部署等。 |
配置流程
第一步:创建RAM用户
快速创建用户并授权
使用主账号登录RAM控制台。
在概览页面,单击,从系统提供的场景中选择您的目标场景。
本文以审计管理员为例介绍操作流程。审计管理员具有配置审计、操作审计和日志管理的全部权限,同时可以查询所有阿里云资源现状。
查看或修改配置参数。
您可以查看预置的全部参数,但只能修改部分参数,请以控制台界面显示为准。
单击执行配置。
查看配置进度,等待配置完成后,保存RAM用户名和登录密码。
通过快速配置方式创建的RAM用户,后续可以在RAM控制台对应功能菜单下修改其配置信息,参考修改RAM用户基本信息
正常创建RAM用户并管理授权,参考:创建RAM用户,为RAM用户授权及为RAM用户移除权限。
设置账号别名(推荐)
RAM用户的默认登录名称为<UserName>@<AccountAlias>.onaliyun.com,其中,<AccountAlias>.onaliyun.com是主账号的默认域名,<AccountAlias>表示账号别名,账号别名的默认值为阿里云主账号的账号ID。建议在创建RAM用户前,先为主账号设置一个易记的账号别名,替代16位数字的账号ID,从而简化RAM用户的登录操作等。
默认域名的修改步骤如下:
使用主账号登录RAM控制台。
在左侧导航栏,点击,点击默认域名后的编辑,修改默认域名。
只有具有RAM管理员权限的RAM用户或主账号才能设置或修改账号别名(默认域名)。
别名一经设置,即刻生效,所有新生成的RAM用户登录名将默认使用该别名。
第二步:RAM用户登录
RAM用户登录控制台的链接如下。如果想避免重复输入账号的默认域名,可以采用专属登录链接。
通用登录链接
使用新创建的RAM用户登录阿里云控制台。
说明RAM用户登录页面与阿里云账号(主账号)登录页面不同。更多信息,请参见RAM用户登录阿里云控制台。
专属登录链接
在RAM控制台的概览页可以获取RAM用户登录地址。RAM用户使用该地址登录阿里云控制台,可以避免重复输入账号的默认域名。
在RAM用户登录页面,输入RAM用户名,单击下一步。
输入RAM用户的登录密码,单击登录。
首次登录时需要绑定MFA,后续登录时页面会要求输入MFA验证码,参考为RAM用户绑定MFA设备。
重置RAM用户密码:通过快速开始创建的RAM用户默认要求重置密码。
第三步:验证RAM用户权限
由于创建的审计管理员具有配置审计、操作审计和日志管理的全部权限,同时可以查询所有阿里云资源现状。下面以操作审计和RAM为例,验证授权是否成功。
RAM用户成功登录控制台后,将鼠标悬停右上角的头像上,您将直接看到RAM用户的信息。
进入操作审计控制台,可以尝试任意操作。
例如,点击左侧导航栏,即可查看所有服务的事件记录。
进入RAM控制台
点击左侧导航栏,即可查看已创建的RAM用户。
重复执行创建RAM用户中的步骤,会收到无权限的报错信息。
常见权限问题排查
当RAM用户访问资源时,如果遇到权限不足的提示,可以参考如何排查无权限的访问错误进行排查。
相关文档
您可以通过以下文档,了解更多相关信息: