RAM用戶登錄地址和登錄方式是什么？

RAM用戶登錄方式有以下幾種：

• 方式一：使用默認域名登錄。RAM用戶的登錄格式為<UserName>@<AccountAlias>.onaliyun.com，例如：username@company-alias.onaliyun.com。

  說明

  RAM用戶的登錄賬號為UPN（User Principal Name）格式，即RAM控制臺用戶列表中所見的用戶登錄名稱。<UserName>為RAM用戶名稱，<AccountAlias>.onaliyun.com為默認域名。關于默認域名的更多信息，請參見基本概念和查看和修改默認域名。

• 方式二：使用賬號別名登錄。RAM用戶的登錄格式為<UserName>@<AccountAlias>，例如：username@company-alias。

  說明

  <UserName>為RAM用戶名稱，<AccountAlias>為賬號別名。關于賬號別名的更多信息，請參見基本概念和查看和修改默認域名。

• 方式三：如果創(chuàng)建了域別名，也可以使用域別名登錄。RAM用戶的登錄格式為<UserName>@<DomainAlias>，例如：username@example.com。

  說明

  <UserName>為RAM用戶名稱，<DomainAlias>為域別名。關于域別名的更多信息，請參見基本概念和創(chuàng)建并驗證域別名。

什么是默認域名和域別名？

阿里云為每個阿里云賬號分配了一個默認域名，格式為：<AccountAlias>.onaliyun.com。默認域名可作為RAM用戶登錄或單點登錄（SSO）等場景下該阿里云賬號的唯一標識符。關于如何設置默認域名，請參見查看和修改默認域名。

如果您持有公網(wǎng)上可以解析的域名，那么您可以使用該域名替代您的默認域名，該域名稱為域別名。域別名就是指默認域名的別名。關于如何設置域別名，請參見創(chuàng)建并驗證域別名。

RAM用戶采購云產(chǎn)品需要什么權(quán)限？

• 如需采購按量付費的云產(chǎn)品，一般只需給RAM用戶分配該云產(chǎn)品的創(chuàng)建實例或創(chuàng)建資源的權(quán)限即可。

• 如需采購包年包月的云產(chǎn)品，還需要額外授予支付訂單的權(quán)限，即授予用戶AliyunBSSOrderAccess的權(quán)限策略。

• 某些云產(chǎn)品在購買時需要使用或創(chuàng)建其他多種資源，這種情況下需要RAM用戶具備相應資源的讀取或創(chuàng)建權(quán)限。

  以下以創(chuàng)建ECS實例為例，說明具體需要的權(quán)限。

  如下權(quán)限策略表示RAM用戶可以從實例啟動模板創(chuàng)建ECS實例：

  {
      "Version": "1",
      "Statement": [{
              "Action": [
                  "ecs:DescribeLaunchTemplates",
                  "ecs:CreateInstance",
                  "ecs:RunInstances",
                  "ecs:DescribeInstances",
                  "ecs:DescribeImages",
                  "ecs:DescribeSecurityGroups"
              ],
              "Resource": "*",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "vpc:DescribeVpcs",
                  "vpc:DescribeVSwitches"
              ],
              "Resource": "*",
              "Effect": "Allow"
          }
      ]
  }

  如果需要RAM用戶在創(chuàng)建ECS實例過程中使用或創(chuàng)建其他資源，根據(jù)資源類型不同，還需要授予下表所示的對應權(quán)限。

  操作	權(quán)限策略
  使用快照創(chuàng)建ECS實例	ecs:DescribeSnapshots
  同時創(chuàng)建并使用新的VPC	vpc:CreateVpc vpc:CreateVSwitch
  同時創(chuàng)建并使用新的安全組	ecs:CreateSecurityGroup ecs:AuthorizeSecurityGroup
  指定實例角色	ecs:DescribeInstanceRamRole ram:ListRoles ram:PassRole
  使用Keypair	ecs:CreateKeyPair ecs:DescribeKeyPairs
  在專有宿主機上創(chuàng)建ECS實例	ecs:AllocateDedicatedHosts

  說明

  • 關于如何創(chuàng)建自定義策略，請參見創(chuàng)建自定義權(quán)限策略。

  • 關于如何為RAM用戶授權(quán)，請參見為RAM用戶授權(quán)。

為什么RAM用戶被授權(quán)后依然無訪問權(quán)限？

• 對于支持權(quán)限診斷的云服務，您可以直接查看無權(quán)限原因及對應的處理策略。具體操作，請參見如何排查無權(quán)限的訪問錯誤？。

• 對于不支持權(quán)限診斷的云服務，您可以參照下表分析原因并解決無權(quán)限問題。

  問題原因	解決方案
  權(quán)限策略錯誤。	檢查RAM用戶的權(quán)限策略，保證權(quán)限策略正確且符合預期。
  自定義策略中設置了拒絕策略。	檢查RAM用戶的權(quán)限策略和RAM用戶加入的RAM用戶組的權(quán)限策略中是否對相關資源或操作設置了"Effect": "Deny"。例如：RAM用戶擁有只讀訪問云服務器ECS的權(quán)限AliyunECSReadOnlyAccess ，但如果同時也擁有如下權(quán)限策略，根據(jù)RAM的Deny優(yōu)先原則，該RAM用戶無法查看ECS資源。 { "Statement": [{ "Action": "ecs:*", "Effect": "Deny", "Resource": "*" }], "Version": "1" }
  資源不支持對應的鑒權(quán)方式。	不同云服務對不同鑒權(quán)方式的支持情況不同，請檢查并使用對應支持的鑒權(quán)方式。 支持RAM鑒權(quán)的云服務：支持RAM的云服務。 支持資源組鑒權(quán)的云服務：支持資源組的云服務。 支持標簽鑒權(quán)的云服務：訪問標簽控制臺，在資源類型能力項頁簽下的資源類型鑒權(quán)列，顯示支持的資源類型。
  受到資源目錄管控策略的影響。	如果被授權(quán)的RAM用戶所屬的主賬號是資源目錄的成員，且資源目錄啟用并設置了拒絕訪問某資源的管控策略，則RAM用戶無權(quán)訪問該資源。此時，您需要聯(lián)系資源目錄的管理賬號，修改或解綁該管控策略。具體操作如下： 確定資源目錄成員所屬的資源目錄的管理賬號： 具體操作，請參見查看成員信息。 聯(lián)系管理賬號，修改或解綁管控策略。 具體操作，請參見修改自定義管控策略或解綁自定義管控策略。

為什么RAM用戶沒有權(quán)限仍然可以操作？

例如：RAM用戶沒有ECS的AliyunECSFullAccess或者AliyunECSReadOnlyAccess系統(tǒng)策略，也沒有添加任何自定義策略，但可以查看實例列表。

• 請檢查RAM用戶所在的用戶組權(quán)限策略中是否存在允許RAM用戶操作的相應權(quán)限。

• 請確認當前已經(jīng)被授權(quán)給RAM用戶的其他權(quán)限策略中是否包含了相關權(quán)限。

  例如：云監(jiān)控的系統(tǒng)權(quán)限策略為AliyunCloudMonitorFullAccess，此權(quán)限包括查看ECS實例列表的權(quán)限："ecs:DescribeInstances"，查看RDS實例列表的權(quán)限："rds:DescribeDBInstances"和查看SLB實例列表的權(quán)限"slb:DescribeLoadBalancer"等。當AliyunCloudMonitorFullAccess被授權(quán)給RAM用戶后，該RAM用戶便有權(quán)限查看ECS、RDS和SLB等云產(chǎn)品的實例信息。

怎樣授權(quán)RAM用戶單獨管理續(xù)費？

目前續(xù)費管理沒有統(tǒng)一的權(quán)限策略，需要根據(jù)具體云產(chǎn)品自定義權(quán)限策略。一般需要授予RAM用戶購買該云產(chǎn)品所需要的權(quán)限以及支付訂單的權(quán)限。

例如：RAM用戶管理ECS實例續(xù)費的權(quán)限，您需要為RAM用戶授予以下自定義權(quán)限策略，還要授予AliyunBSSOrderAccess系統(tǒng)權(quán)限策略。

{
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:RenewInstance",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

RAM用戶使用資源所產(chǎn)生的費用怎么計算？

• RAM用戶使用資源所產(chǎn)生的費用由其所屬的阿里云賬號承擔。

• RAM用戶可以自動享有阿里云賬號享有的折扣，無需特殊設置。

• 消費額度、信用額度和獨立付款方式等財務相關屬性均為阿里云賬號內(nèi)的全局設置，影響所有RAM用戶。不支持為某個RAM用戶單獨設置。

• RAM用戶可以被授權(quán)進行充值操作，充值后的金額歸屬于阿里云賬號。

• RAM用戶或RAM用戶組不能作為獨立的財務單元出賬單。

  若有阿里云賬號內(nèi)的分賬需求，推薦您使用資源管理服務。更多信息，請參見資源組分賬和標簽分賬概述。

為什么RAM授權(quán)后，沒有立刻在云產(chǎn)品中生效？

RAM采用多地域（Region）、多可用區(qū)（AZ）部署的高可用架構(gòu)，數(shù)據(jù)在不同的Region間復制，并遵從最終一致性。當您在RAM中進行授權(quán)后，RAM會將授權(quán)信息同步分發(fā)到全球各個Region以及AZ中，為各個云產(chǎn)品提供鑒權(quán)能力。當某個AZ或者Region發(fā)生宕機后，RAM高可用容災機制會切換到其它可用的AZ。

授權(quán)信息分發(fā)機制需要一定的時間來確保授權(quán)生效。當您進行授權(quán)變更后，需要等待一定的時間，授權(quán)才能在云產(chǎn)品中生效。

RAM會保證授權(quán)數(shù)據(jù)的最終一致性。