AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 访问控制 配置身份 RAM用户管理 基本操作 禁用或删除RAM用户

禁用或删除RAM用户

更新时间:
复制为 MD 格式
产品详情
我的收藏

当您不再需要某个RAM用户时,为了安全和便于管理,应及时禁用或删除该用户。本文介绍RAM用户的完整生命周期管理,包括删除前的安全检查、如何将用户移入回收站、从回收站恢复用户,以及从回收站彻底删除用户。

删除RAM用户前的安全评估

在删除RAM用户前,必须确认该用户不再被任何系统或应用程序使用,以避免引发业务故障。推荐采用“先禁用、后删除”的稳妥方案。

删除前最终检查清单

在执行删除操作前,请务必完成以下检查:

  • 检查AccessKey活动

    • RAM控制台的用户详情页的AccessKey页签,查看AccessKey最后使用云服务 / 时间

    • 如果需要详细信息,可以登录操作审计控制台,在AccessKey 审计页签,用目标AccessKey ID进行查询,确认该用户的访问密钥(AccessKey)近期无任何API调用。

  • 检查控制台登录活动

    • RAM控制台的用户详情页的认证管理页签,确认最近登录时间

    • 如果需要详细信息,操作事件页签,或者登录操作审计控制台,在事件查询页签,用目标RAM用户的用户名作为操作者名称进行筛选,确认该用户近期无控制台操作记录。

  • 检查服务依赖

    • 云产品中是否有使用RAM用户申请其他凭证,如ACKkubeconfig。

    • 是否有使用RAM用户身份执行任务,如大数据产品DataWorks、MaxCompute。

    • 可以在RAM控制台的用户详情页的权限审计 Beta页签,确认用户被授权的服务及最近访问时间,详见权限审计概览

  • 备份用户信息(可选):由于恢复用户无法恢复其权限配置,建议在删除前,通过API或脚本导出其权限策略、所属用户组等信息作为备份。

最佳实践:先禁用后删除

对于不确定是否仍在使用的用户,建议先禁用其访问凭证,观察一段时间。如果业务无任何异常,再执行删除操作。这是处理员工离职或应用下线场景时最安全的流程。

  1. 临时禁用用户

    • 禁用控制台登录:在用户详情页的认证管理页签,修改控制台登录管理部分的配置,将控制台访问设置为禁用

    • 禁用AccessKey:在用户详情页的认证管理页签,将所有AccessKey的状态设置为禁用。 此时,该用户将无法登录或调用API,但其身份和权限配置仍然保留,便于随时恢复启用。

  2. 观察业务状态:保持停用状态观察一段时间,建议最少7-15天,确认无任何业务因此中断。

  3. 执行删除操作:观察期结束后,若确认用户可被安全删除,则继续执行后续的删除操作。

RAM用户的回收站机制

在执行删除操作时,RAM用户的状态流转如下:

image

为防止因误操作删除RAM用户而导致业务中断,RAM提供了回收站作为安全缓冲机制。RAM用户回收站的特点如下:

  • 删除即回收:在控制台对RAM用户执行的删除操作,并非立即永久删除,而是将其移入回收站

  • 禁用状态:用户一旦进入回收站,其所有功能(包括控制台登录、API调用等)均被禁用,关联的权限和绑定关系(如MFA设备)也会被移除。

  • 保留与清理:用户在回收站中默认保留30。超过30天,系统会自动将其永久删除。在此期间,您可以随时将其恢复或手动永久删除。

  • 恢复限制:从回收站恢复用户时,仅恢复用户身份本身。其原有的权限和MFA设备等需要您手动重新配置,AccessKey需要单独手动恢复或重新创建。

  • 配额限制:回收站最多可容纳1000个用户。当数量超出限制后,系统会按移入时间从早到晚自动清理最早的用户,为新移入的用户腾出空间。

操作步骤

一、将RAM用户移入回收站

此操作会将用户禁用并放入回收站,启动30天的自动清理倒计时。移入回收站后,该用户的控制台登录、API调用(AccessKey)、所有权限、MFA设备及钉钉绑定都将被禁用或移除。

控制台

  1. 使用阿里云账号(主账号)或拥有RAM管理员权限(AliyunRAMFullAccess)的RAM用户登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的删除

    您也可以选中多个RAM用户,然后单击用户列表下方的删除用户,批量将多个RAM用户移入回收站(不推荐,容易误删除)。

  4. 删除用户对话框,仔细阅读删除影响,然后输入目标RAM用户名称,最后单击移入回收站

OpenAPI

调用DeleteUser可以将RAM用户移入回收站

二、管理回收站中的用户

您可以在回收站中查看、恢复或彻底删除用户。

查看回收站中的RAM用户和AccessKey

  1. 用户页面,单击右上角的回收站

  2. 回收站页面,您可以:

    • 用户页签,查看回收站中的RAM用户列表。

    • AccessKey页签,查看回收站中的AccessKey列表。

从回收站恢复RAM用户

此操作用于恢复被误删除的用户。

重要

从回收站恢复RAM用户时,恢复的仅是RAM用户的基本信息,包括登录名称、显示名称、UID和创建时间;该RAM用户的控制台登录密码(有效期内)。其余信息无法恢复,需要您在恢复后手动重新配置。

  1. 用户页面,单击右上角的回收站

  2. 用户页签,单击目标RAM用户操作列的恢复

    您也可以选中多个RAM用户,然后单击用户列表下方的恢复回收站用户,批量恢复RAM用户。

  3. 恢复回收站用户对话框,单击确定

  4. 恢复后操作核对表

    • 为用户重新授予必要的权限。

    • 将用户重新加入所需的用户组。

    • 如果需要API访问,为用户重新创建AccessKey,或在回收站AccessKey页签下恢复其旧的AccessKey。

    • 提醒用户重新绑定MFA设备。

    • 按需重新添加RAM用户的备注、手机号码、邮箱和标签等。

    • 重新绑定的钉钉账号

从回收站彻底删除RAM用户

此操作将永久删除用户及其所有信息,操作不可逆。

警告

一旦彻底删除RAM用户,该用户的所有信息(包括其AccessKey)将无法恢复。请仅在完全确定不再需要该用户时执行此操作。

回收站中的RAM用户保存期限为30,超过期限系统会自动清理这些RAM用户,也就是彻底删除RAM用户。您也可以在回收站中手动删除指定的RAM用户:

  1. 用户页面,单击右上角的回收站

  2. 用户页签,单击目标RAM用户操作列的删除

  3. 删除回收站用户对话框,输入目标RAM用户名称,然后单击删除

上一篇:创建RAM用户下一篇:查看RAM用户信息