创建并授权RAM用户

基本概念

RAM用户即子账号，有确定的身份ID和身份凭证，它通常与某个确定的人或应用程序一一对应。RAM用户具备以下特点：

• RAM用户由阿里云账号（主账号）或具有管理员权限的其他RAM用户、RAM角色创建，创建成功后，归属于该阿里云账号，它不是独立的阿里云账号。

• RAM用户不拥有资源，不能独立计量计费，由所属的阿里云账号统一付费。

• RAM用户必须在获得授权后，才能登录控制台或使用API访问阿里云账号下的资源。

• RAM用户拥有独立的登录密码或访问密钥。

• 一个阿里云账号下可以创建多个RAM用户，作为对应企业内的员工、系统或应用程序。

为了保护您的阿里云账号（主账号）安全，建议您创建一个RAM用户（子账号），并授予该RAM用户管理阿里云账号下相关资源的权限。

使用流程

1. 登录阿里云账号后进入RAM访问控制台，创建用户。创建用户时，访问方式选择Open API调用访问。用户创建完成后，还需要创建用户的AccessKey，详情参照创建AccessKey获取RAM用户AccessKey。

2. 为RAM用户授权（授权前需先创建权限策略）。

   为RAM用户授予不同的资源访问权限。具体操作，请参见为RAM用户授权。

用户组的创建及授权

访问控制（RAM）通过用户组对职责相同的RAM用户进行分类并授权，可以更加高效地管理RAM用户及其权限。（若您不需要此项内容，则无需配置）

• 在RAM用户职责发生变化时，只需将其移动到相应职责的用户组下，不会对其他RAM用户产生影响。

  关于如何创建用户组，请参见创建用户组。

• 当用户组的权限发生变化时，只需修改用户组的权限策略，即可应用到所有RAM用户。

  关于如何为用户组授权，请参见为用户组授权。

创建权限策略

如果不需要进行权限的细分，则可以跳过该步骤及下一步授权。

下文以创建本产品全功能的权限策略为例。

1. 在RAM访问控制页面，选择权限管理中的权限策略，单击创建权限策略，选择脚本编辑。

2. 输入如下脚本，编辑基本信息（包括名称和备注），即可完成权限策略的创建。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "xgip:*",
      "Resource": "acs:xgip:*:*:*",
      "Effect": "Allow"
    }
  ]
}

授权

在权限管理中进行授权>新增授权操作。

操作流程：

1. 授权范围：整个云账号下的资源，或者指定资源组。

2. 授权主体：创建的用户或者用户组。

3. 选择自定义策略，选择之前创建的策略。