身份管理

阿里云访问控制RAM将用户身份分为两种类型：实体用户身份和虚拟用户身份。划分不同类型的用户身份，可以帮助您更好地对不同用户进行权限管理和访问控制。

阿里云账号

默认情况下，资源只能被阿里云账号所访问，任何其他用户访问都需要获得阿里云账号的授权。

建议您结合业务需求，进行以下设置或操作，保护您的阿里云账号安全：

• 如非必要，避免使用阿里云账号进行API访问或日常运维操作，建议您使用RAM用户进行操作。避免为阿里云账号创建访问密钥（AccessKey）。阿里云不会明文保存您的阿里云账号密码，而是保存SHA256哈希（Hash）且加盐（Salt）值。

• 推荐您在阿里云账号下创建RAM用户，并授予相关权限，后续使用该RAM用户执行操作。

  详细介绍，请参见创建RAM用户。

• 妥善保管您的AccessKey（访问密钥），不要随意泄露或者将AccessKey写入到任何可能被他人获取到的地方（例如嵌入到工程代码中）。

  如果您的AccessKey已经使用超过90天，建议您尽快轮转，降低AccessKey被泄露的风险。

  相关操作，请参见轮转RAM用户的AccessKey。

  如果您想检测是否有AccessKey泄露到Github，可使用云安全中心的AK泄露检测功能。该功能支持免费使用。

• 为阿里云账号设置登录保持时间（大于等于1小时，小于等于24小时），超出该时间账号会自动退出登录。

  有关阿里云账号的详细介绍，请参见安全设置概览。

• 为阿里云账号设置登录掩码，实现仅可以通过指定IP地址登录并访问阿里云资源。

• 对阿里云账号和RAM用户设置MFA，用于登录控制台或进行敏感操作时的二次身份验证。

• RAM用户账号AK只支持在创建时显示，不支持查看；且每个RAM用户最多可创建2个AK、每个阿里云账号最多可创建5个AK。

• 支持对RAM用户的密码设置有效期和过期后是否限制登录。

RAM用户

RAM用户需要由阿里云账号（主账号）或拥有管理员权限的RAM用户、RAM角色来创建，且必须在获得授权后，才能登录控制台或使用API访问阿里云账号下的资源。

• 当您的企业存在多用户协同访问资源的场景时，使用RAM用户可以实现不同RAM用户拥有不同资源访问权限的目的，可按需为用户分配最小权限，避免多用户共享阿里云账号密码或访问密钥，从而降低企业的安全风险。

• 每个RAM用户可以分配有不同的密码或AccessKey（即AK），消除云账号共享带来的安全风险。同时可为不同的RAM用户分配不同的工作权限。

• 创建RAM用户时，支持同时设置多种不同的访问方式，但建议您针对不同用途的RAM用户仅设置一种登录方式，以提高账号的安全性。

  例如：如果RAM用户代表的是应用程序，则需要通过API访问资源，您只需为它创建访问密钥。如果RAM用户代表的是员工，则需要通过控制台访问资源，您只需为它设置登录密码。

• 如有需要，对RAM用户设置SSO单点登录功能，实现直接使用企业自有的身份登录并访问阿里云资源。

• 角色配额限定在一定的范围内，超过配额后将无法创建更多角色。相关介绍，请参见使用限制。

RAM用户组

当您的阿里云账号下有多个RAM用户时，可以通过创建用户组对职责相同的RAM用户分组进行授权，实现高效地管理RAM用户及其权限。

• 当多个RAM用户需要授予相同权限时，通过将其添加到用户组，针对用户组设置权限策略，即可让该用户组下的所有RAM用户应用该权限策略。

• 在RAM用户职责发生变化时，只需将其移动到相应职责的用户组下，不会对其他RAM用户产生影响。

• 当某个用户组不再需要某些权限时，可以直接为用户组移除权限。移除权限后，该用户组中的多个RAM用户将无法再访问指定权限的资源。详细信息，请参见为用户组移除权限。

RAM角色

RAM角色（RAM role）与RAM用户一样，都是阿里云支持的RAM身份类型的一种。RAM角色是一种虚拟用户，没有确定的身份认证密钥，需要被一个受信的实体用户扮演，扮演成功后实体用户将获得RAM角色的安全令牌，使用这个安全令牌就能以角色身份访问被授权的资源。

• RAM角色创建后，默认无任何权限，需管理员对RAM角色授权后，该角色才能通过控制台和API访问并使用云资源。详情请参见为RAM角色授权。

• 支持为RAM角色颁发有时效性限制的访问令牌（STS令牌），这种授予访问权限的方式更安全。

  详细信息，请参见什么是STS。

• 每个RAM角色支持设置最大会话时间，角色的会话时长超出最大会话时间的设置范围时，相关操作会失败。

  最大会话时间支持修改。详细信息，请参见设置角色最大会话时间。