新创建的RAM用户默认无任何权限。您必须为其授予权限,该用户才能在您的授权范围内访问和管理阿里云资源。本文介绍如何为RAM用户授权、查看与撤销权限,并提供常见场景的最佳实践与故障排查方法,帮助您安全、高效地进行权限委派。
核心概念
在授权前,您需要了解以下核心概念:
权限策略类型
权限策略是一组访问权限的集合,分为以下两种。RAM用户支持批量授予多条权限策略,授权请遵循“最小权限原则”。
系统策略:阿里云预设的常用权限集,例如
AliyunECSReadOnlyAccess(只读访问ECS)、AliyunOSSFullAccess(管理OSS权限),全部系统策略详见系统策略参考自定义策略:如果系统策略无法满足您的精细化需求,可以 创建自定义权限策略 后再来授权。如需RAM用户采购云产品,请参考权限集合:RAM用户采购云产品需要什么权限?
授权生效与限制
生效时间:为RAM用户授权后,权限通常会立即生效,无需等待或重新登录。
数量限制:每个RAM用户允许附加的系统策略和自定义策略存在最大数量限制,请参见使用限制。
资源组限制:若使用基于资源组的授权,需要先确认对应云服务、操作及资源类型是否支持资源组级别的授权。具体请参见支持资源组级别授权的云服务。
为RAM用户新增授权
控制台
RAM控制台提供两种为RAM用户授权的操作入口。两者均支持单个或批量授权,请按操作习惯选择:
从用户页面发起:在用户列表中勾选目标用户后,授权面板会自动选定授权主体。适合“以用户为中心”的视角。
从授权页面发起:需手动选择授权主体,但可看到账号下所有授权记录的总览。适合“以权限为中心”的视角。
大规模批量管理建议:当需要为多名职责相同的 RAM 用户授予相同权限时,建议先将这些用户加入同一用户组,再为用户组授权(控制台路径:身份管理 > 用户组),比为每个用户单独授权更易维护。
从用户页面发起
登录RAM控制台
在左侧导航栏选择。
在用户页面,找到已经创建好的RAM用户,单击操作列的新增授权。
您也可以选中多个RAM用户,单击用户列表下方的新增授权,为多个RAM用户新增授权。
在新增授权面板,为RAM用户添加权限。
选择资源范围:
账号级别:权限在当前阿里云账号内全部资源生效。适用于通用、无需按资源组隔离的场景。
资源组级别:权限仅在指定资源组内生效。适用于多团队共用一个账号、需按资源组隔离权限的场景。如果RAM用户被授予了资源组级别的权限,该用户登录控制台后,必须在顶部导航栏将资源范围切换到被授权的资源组,才能正常访问和管理该资源组内的资源。
说明系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等),这些策略通常包含对所有云资源的完全控制权限或对访问控制(RAM)的完全管理权限等,请谨慎授予。
资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
选择授权主体:
授权主体即需要添加权限的RAM用户。如果是从用户页面发起,系统会自动选择当前的RAM用户。如果是从授权页面发起,需要手动选择RAM用户,支持批量选中多个。
选择权限策略:
系统策略:可以直接搜索并选择。搜索技巧:您可以利用搜索框快速定位策略。支持按产品名称(如
ECS、OSS)、权限级别(如ReadOnly、FullAccess)或完整的策略名称进行模糊搜索。自定义策略:需要先创建自定义权限策略后再来授权。
(可选)填写备注:建议填写授权原因或场景描述,便于后续审计回溯,例如"OSS 上传任务专项授权"。
提交授权:单击确认新增授权。
确认授权绑定操作结果,单击关闭。
从授权页面发起
登录RAM控制台
在左侧导航栏,选择。
在授权页面,单击新增授权。
在新增授权面板,为RAM用户添加权限。具体内容同上。
确认授权绑定操作结果,单击关闭。
OpenAPI
授予自定义策略
调用CreatePolicy创建一个自定义策略,可以参考权限策略基本元素和权限策略示例库概览。
调用AttachPolicyToUser为RAM用户授予账号级别的权限,注意此处
PolicyType选择Custom。或者调用AttachPolicy为RAM用户授予资源组级别的权限。
授予系统策略
直接调用AttachPolicyToUser将权限策略绑定至指定RAM用户,注意此处
PolicyType选择System,PolicyName详见系统策略参考 。或者调用AttachPolicy为RAM用户授予资源组级别的权限。
查看RAM用户的权限
控制台
登录RAM控制台。
在左侧导航栏,选择。
在用户页面,单击目标RAM用户名称。
单击权限管理页签,可以查看个人权限以及继承用户组的权限。
如需了解权限的实际使用情况(最近访问时间、是否闲置、是否过度授权),可在用户详情的权限审计 Beta页签或 RAM 概览页的访问分析中查看,便于持续优化授权配置。
OpenAPI
调用ListPoliciesForUser可以查询指定用户的授权范围为云账号的授权列表,不能查询授权范围为资源组的授权列表。
移除RAM用户的权限
操作前建议:为避免误删仍在使用的权限,撤销前可在用户详情的权限审计 Beta中查看待撤销策略的最近使用时间,或在 RAM 概览页访问分析中确认该用户是否存在闲置策略,再决定撤销范围。
控制台
RAM控制台提供两种为RAM用户解除授权的操作入口。两者均支持单条或批量解除授权,请按操作习惯选择:
从用户页面发起:在用户详情中按用户筛选要解除的权限,适合"以用户为中心"的清理场景。
从授权页面发起:从全量授权记录中按权限筛选要解除的关系,适合"以权限为中心"的清理场景。
从用户页面发起
登录RAM控制台。
在左侧导航栏,选择。
在用户页面,单击目标RAM用户名称。
单击权限管理页签,在个人权限中筛选目标权限策略,单击操作列的解除授权。
在解除授权对话框,再次确认授权主体和权限策略等信息,单击解除授权。
从授权页面发起
登录RAM控制台。
在左侧导航栏,选择。
在授权页面,单击目标RAM用户及权限策略对应操作列的解除授权。
您也可以选中多条授权记录,单击授权列表下方的解除授权,批量移除授权。
在解除授权对话框,单击解除授权。
OpenAPI
调用DetachPolicyFromUser为用户撤销指定的权限。
权限安全建议
遵循最小权限原则,始终按需为RAM用户授予完成其工作所必需的最小权限,避免授予不必要的权限。
场景示例1:管理指定的ECS实例
错误示范:授予
AdministratorAccess或AliyunECSFullAccess。正确示范:创建自定义策略,将
Resource限定为具体的实例ID,示例策略参考管理指定的ECS实例。
场景示例2:授予除费用外的所有权限
错误示范:授予
AdministratorAccess。正确示范:创建自定义策略,设置一条
"Action": "bss:*","bssapi:*","efc:*""Effect": "Deny"的声明,利用显式拒绝来排除费用相关的管理权限,示例策略参考管理阿里云账号下除费用信息外的所有资源。
定期审计权限。建议定期使用以下能力检视权限健康度:在 RAM 概览页 治理检测 中识别 90 天内未使用的 AccessKey 和闲置 RAM 用户;在 访问分析(Beta) 中通过过度授权分析器识别超出实际使用范围的过度授权身份,作为持续最小化授权的依据。
谨慎使用高风险权限。重申应仅在极少数必要场景下(如为RAM管理员授权)才使用
AliyunRAMFullAccess等高风险策略,并对拥有此类权限的用户操作行为进行严格的审计和监控。临时授权优先用 RAM 角色。如果只是短期、有限场景的授权需求(如跨账号访问、临时 CI/CD 任务),优先创建 RAM 角色并通过 STS 颁发临时凭证,而不是为 RAM 用户挂载长期生效的策略。临时凭证到期自动失效,无需手动撤销。
常见问题
RAM用户如何查看自己拥有的权限?
出于安全考虑,RAM用户默认无法直接查看自己被授予的完整权限策略列表。您可以通过以下方式了解您的权限范围:
功能试用:尝试访问您工作所需的产品控制台和功能。如果提示“无权限”,则说明您缺少相应权限。
联系管理员:联系您所在组织的管理员(主账号或者拥有RAM管理员权限(
AliyunRAMFullAccess)的RAM用户),请其在RAM控制台的用户详情页面为您查询具体的权限配置。
RAM用户可以购买云产品吗?
可以。您需要为其授予购买产品所需的特定权限,参考RAM用户采购云产品需要什么权限?
但目前不支持为单个RAM用户设置独立的消费额度或账单。所有RAM用户的消费都将计入主账号,并由主账号统一支付。
如何为RAM用户授予临时、可回收的权限?
不建议为RAM用户附加长期生效的临时性策略。推荐做法:创建一个具备所需权限的RAM角色,再让RAM用户通过 AssumeRole 或 STS 获取有时间限制的临时凭证。具体请参考扮演RAM角色。
临时凭证到期自动失效,无需手动撤销,适合 CI/CD、跨账号代理、第三方运维等场景。
RAM用户访问资源时遇到“权限不足”,如何排查?
进入RAM控制台下的权限管理 > 权限诊断,将权限错误响应中的诊断密文(AccessDeniedDetail.EncodedDiagnosticMessage字段)或 Request ID 粘贴到诊断框,单击开始诊断,系统会反向解析出本次拒绝的具体原因(命中的策略、条件或显式拒绝),帮助快速定位问题。
更多排查思路,请参见如何排查无权限的访问错误。