您可以创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。当您的企业存在多用户协同访问资源的场景时,使用RAM可以按需为用户分配最小权限,避免多用户共享阿里云账号(主账号)密码或访问密钥,从而降低企业的安全风险。阿里云基于最佳实践,提供了常见场景的快速配置方式,且预置了对应RAM用户的权限策略,方便您快速创建RAM用户并授权。同时,您也可以根据自己的实际业务需求,采用手动配置的方式,手动创建RAM用户并授权。
快速配置
步骤一:创建RAM用户并授权
使用阿里云账号(主账号)登录RAM控制台。
在概览页面,单击快速开始页签。
从系统提供的场景中选择您的目标场景。
例如:您可以选择网络管理员,该网络管理员负责企业的网络架构搭建和管理,可开通、购买、创建网络相关服务,拥有网络服务的所有权限和ECS安全组的权限。
查看或修改配置参数。
您可以查看预置的全部参数,但只能修改部分参数,请以控制台界面显示为准。
单击执行配置。
查看配置进度,等待配置完成后,保存RAM用户名和登录密码。
通过快速配置方式创建的RAM用户,后续可以在RAM控制台对应功能菜单下修改其配置信息。
步骤二:RAM用户登录阿里云控制台
使用新创建的RAM用户登录阿里云控制台。
说明RAM用户登录页面与阿里云账号(主账号)登录页面不同。更多信息,请参见RAM用户登录阿里云控制台。
在RAM用户登录页面的RAM用户名密码登录页签,输入RAM用户名,单击下一步。
输入RAM用户的登录密码,单击登录。
说明为保证RAM用户的账号安全,控制台登录或在控制台进行敏感操作时除使用用户名和密码验证外,您还可以绑定MFA设备,用于二次身份验证。具体操作,请参见为RAM用户绑定MFA设备。
手动配置
步骤一:创建RAM用户
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在用户页面,单击创建用户。
在创建用户页面的用户账号信息区域,设置用户基本信息。
登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。
显示名称:最多包含128个字符或汉字。
标签:单击,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。
说明单击添加用户,可以批量创建多个RAM用户。
在访问方式区域,选择访问方式,然后设置对应参数。
为了账号安全,建议您只选择以下访问方式中的一种,将人员用户和应用程序用户分离,避免混用。
控制台访问
如果RAM用户代表人员,建议启用控制台访问,使用用户名和登录密码访问阿里云。您需要设置以下参数:
控制台登录密码:选择自动生成密码或者自定义密码。自定义登录密码时,密码必须满足密码复杂度规则。更多信息,请参见设置RAM用户密码强度。
密码重置策略:选择RAM用户在下次登录时是否需要重置密码。
多因素认证(MFA)策略:选择是否为当前RAM用户启用MFA。启用MFA后,还需要绑定MFA设备。更多信息,请参见为RAM用户绑定MFA设备。
使用永久AccessKey访问
如果RAM用户代表应用程序,您可以使用永久访问密钥(AccessKey)访问阿里云。启用后,系统会自动为RAM用户生成一个AccessKey ID和AccessKey Secret。更多信息,请参见创建AccessKey。
重要RAM用户的AccessKey Secret只在创建时显示,不支持查看,请妥善保管。
访问密钥(AccessKey)是一种长期有效的程序访问凭证。AccessKey泄露会威胁该账号下所有资源的安全。建议优先采用STS Token临时凭证方案,降低凭证泄露的风险。更多信息,请参见使用访问凭据访问阿里云OpenAPI最佳实践。
单击确定。
根据界面提示,完成安全验证。
步骤二(可选):创建自定义权限策略
RAM提供了两种权限策略:系统权限策略和自定义权限策略。系统权限策略由阿里云统一提供,不支持修改。如果系统权限策略不能满足您的需求,您可以按需创建自定义权限策略,实现精细化权限管理。
创建自定义权限策略有多种方式,如下将以通过可视化编辑模式创建自定义权限策略为例为您介绍。更多其他方式,请参见创建自定义权限策略。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击可视化编辑页签。
配置权限策略。
关于权限策略基本元素的详情,请参见权限策略基本元素。
在效果区域,选择允许或拒绝。
在服务区域,选择云服务。
说明支持可视化编辑模式的云服务以控制台界面显示为准。
在操作区域,选择全部操作或指定操作。
系统会根据您上一步选择的云服务,自动筛选出可以配置的操作。如果您选择了指定操作,您需要继续选择具体的操作。
在资源区域,选择全部资源或指定资源。
系统会根据您上一步选择的操作,自动筛选出可以配置的资源类型。如果您选择了指定资源,您需要继续单击添加资源,配置具体的资源ARN。您可以使用匹配全部功能,快速选择对应配置项的全部资源。
说明为了权限策略的正常生效,对操作关联的必要资源ARN标识了必要,强烈建议您配置该资源ARN。
在条件区域,单击添加条件,配置条件。
条件包括阿里云通用条件和服务级条件,系统会根据您前面配置的云服务和操作,自动筛选出可以配置的条件列表。您只需要选择对应条件键配置具体内容。
单击添加语句,重复上述步骤,配置多条权限策略语句。
单击页面上方的可选:高级策略优化,然后单击执行,对权限策略内容进行高级优化。
高级权限策略优化功能会完成以下任务:
拆分不兼容操作的资源或条件。
收缩资源到更小范围。
去重或合并语句。
在创建权限策略页面,单击确定。
在创建权限策略对话框,输入权限策略名称和备注,然后单击确定。
步骤三:为RAM用户授权
授权时,建议遵循最小化原则,仅授予必要的权限。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在用户页面,单击目标RAM用户操作列的添加权限。
您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。
在新增授权面板,为RAM用户添加权限。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
重要指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
选择授权主体。
授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。
选择权限策略。
权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。
单击确认新增授权。
单击关闭。
步骤四:RAM用户登录阿里云控制台
使用新创建的RAM用户登录阿里云控制台。
说明RAM用户登录页面与阿里云账号(主账号)登录页面不同。更多信息,请参见RAM用户登录阿里云控制台。
在RAM用户登录页面的RAM用户名密码登录页签,输入RAM用户名,单击下一步。
输入RAM用户的登录密码,单击登录。
说明为保证RAM用户的账号安全,控制台登录或在控制台进行敏感操作时除使用用户名和密码验证外,您还可以绑定MFA设备,用于二次身份验证。具体操作,请参见为RAM用户绑定MFA设备。