通过RAM用户访问密钥发起请求_表格存储(Tablestore)-阿里云帮助中心

访问控制RAM可以帮助您管理用户身份和资源访问权限，使用RAM用户访问表格存储资源比直接使用阿里云账号更加安全。本文介绍如何创建RAM用户和AccessKey、为RAM用户授权、配置系统环境变量，并通过示例代码演示如何使用RAM用户的AccessKey发起请求。

创建RAM用户

使用阿里云账号（主账号）或RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户页面，单击创建用户。
在创建用户页面的用户账号信息区域，设置用户基本信息。
- 登录名称：可包含英文字母、数字、半角句号（.）、短划线（-）和下划线（_），最多64个字符。
- 显示名称：最多包含128个字符或汉字。
- 标签：单击，输入标签键和标签值。为RAM用户绑定标签，便于后续基于标签管理用户。
  说明
  通过单击添加用户，您可以批量创建多个RAM用户。
在访问方式区域，选中使用永久AccessKey访问，单击确定。
说明
如果需要使用RAM用户登录和访问阿里云控制台，请选中控制台访问。
根据界面提示，完成安全验证。
单击操作列的复制，保存RAM用户信息。您也可以单独复制AccessKey ID和AccessKey Secret。
重要
RAM用户的AccessKey Secret只在创建时显示，页面关闭后将无法查看，请及时保存并妥善保管。

为RAM用户授权

创建RAM用户后，您需要为RAM用户授予表格存储的访问权限。

使用默认策略

以AliyunOTSFullAccess为例授予RAM用户访问表格存储的权限。

重要

AliyunOTSFullAccess拥有表格存储的完全访问权限，您也可以选择以下方式进行授权。

如果需要只读权限，请授予RAM用户AliyunOTSReadOnlyAccess权限。
如果需要只写权限，请授予RAM用户AliyunOTSWriteOnlyAccess权限。

在左侧导航栏，选择身份管理 > 用户。
在用户页面，找到目标RAM用户。
单击RAM用户右侧的添加权限。
在新增授权面板的权限策略区域，搜索AliyunOTSFullAccess并选中。
单击确认新增授权。

使用自定义策略

创建自定义权限策略。
1. 在左侧导航栏，选择权限管理 > 权限策略。
2. 在权限策略页面，单击创建权限策略。
3. 在创建权限策略页面，单击脚本编辑，并在输入框中编写脚本，单击确定。
  说明
  以下示例脚本授予RAM用户访问单个实例的权限，您可以根据需要自定义策略脚本，例如表和API级别的权限控制或基于场景（IP、访问时间限制等）的权限控制。关于RAM Policy的更多信息，请参见自定义RAM Policy。
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ots:*",
      "Resource": "acs:ots:*:*:instance/your_instance_name*"
    }
  ]
}
```
4. 在创建权限策略对话框，填写策略名称，例如TestRAMPolicy，单击确定。
为RAM用户授予自定义权限策略。
1. 在左侧导航栏，选择身份管理 > 用户。
2. 在用户页面，找到目标RAM用户。
3. 单击RAM用户右侧的添加权限。
4. 在新增授权面板的权限策略区域，搜索并选中已创建的自定义权限策略。
5. 单击确认新增授权。

配置环境变量

直接在代码中保存访问凭证容易导致信息泄露，建议您按以下操作将访问凭证保存在系统环境变量中。

Windows

以管理员身份运行命令提示符，执行以下命令。

setx TABLESTORE_ACCESS_KEY_ID your_access_key_id /m
setx TABLESTORE_ACCESS_KEY_SECRET your_access_key_secret /m

macOS/Linux/Unix

export TABLESTORE_ACCESS_KEY_ID=your_access_key_id
export TABLESTORE_ACCESS_KEY_SECRET=your_access_key_secret

通过RAM用户发起请求

准备工作

在表格存储控制台创建实例和数据表。
获取实例名称、实例访问地址、地域ID。地域列表请参见地域。
安装Tablestore SDK。具体操作，请参见安装Java SDK。

示例代码

以下Java示例代码用于获取实例下的所有数据表名称。

import com.alicloud.openservices.tablestore.SyncClient;
import com.alicloud.openservices.tablestore.core.ResourceManager;
import com.alicloud.openservices.tablestore.core.auth.*;
import com.alicloud.openservices.tablestore.model.ListTableResponse;

public class Main {
    public static void main(String[] args) {
        // yourRegion 填写您的实例所在地域，如 cn-hangzhou
        final String region = "yourRegion";
        // yourInstance 填写您的实例名称
        final String instanceName = "yourInstance";
        // yourEndpoint 填写您的实例访问地址
        final String endpoint = "yourEndpoint";
        // 获取系统变量里的 AccessKey ID 和 AccessKey Secret
        final String accessKeyId = System.getenv("TABLESTORE_ACCESS_KEY_ID");
        final String accessKeySecret = System.getenv("TABLESTORE_ACCESS_KEY_SECRET");

        // 构造 V4 签名
        DefaultCredentials credentials = new DefaultCredentials(accessKeyId, accessKeySecret);
        V4Credentials credentialsV4 = V4Credentials.createByServiceCredentials(credentials, region);
        CredentialsProvider provider = new DefaultCredentialProvider(credentialsV4);

        // 初始化 Tablestore Client
        SyncClient client = new SyncClient(endpoint, provider, instanceName, null, new ResourceManager(null, null));

        // 列出实例下的数据表列表并打印到控制台
        ListTableResponse listTableResponse = client.listTable();
        listTableResponse.getTableNames().forEach(System.out::println);

        // 关闭 Tablestore Client
        client.shutdown();
    }
}

常见问题

问：如果未复制AccessKey信息就关闭了页面，或者遗失了AccessKey信息该怎么办？

您可以创建用于轮转的第二个AccessKey，验证后再删除原来的AccessKey。具体操作，请参见轮转RAM用户的AccessKey。

问：如何让RAM用户能自主管理AccessKey？

您需要在RAM控制台设置页面的全局安全区域启用允许用户管理AccessKey设置，设置后RAM用户可以自行创建、禁用和删除AccessKey。具体操作，请参见管理RAM用户安全设置和创建AccessKey。