RAM用戶

RAM用戶需要由阿里云賬號（即主賬號）或擁有管理員權限的RAM用戶、RAM角色來創建，且必須在獲得授權后才能登錄控制臺或使用API訪問阿里云賬號下的資源。

對于RAM用戶的使用，建議您：

• 使用阿里云賬號創建一個RAM用戶，并為RAM用戶授予管理員權限，后續使用有管理員權限的RAM用戶創建并管理其他RAM用戶。

• 將人員用戶和程序用戶分離。

  創建RAM用戶時，支持設置控制臺訪問和OpenAPI調用訪問兩種訪問方式?？刂婆_用戶使用賬號密碼訪問云產品控制臺，API用戶使用訪問密鑰AK（AccessKey）調用API訪問云資源。建議您將兩個不同的使用場景分離，避免誤操作導致服務受到影響。對于通過控制臺訪問的用戶，推薦為其開啟MFA多因素認證。

• 按需為RAM用戶分配最小權限。

  最小權限是指授予用戶執行某項任務所需的權限，不授予其他無需用到的權限。最小授權可以避免用戶操作權限過大，提高數據安全性，減少因權限濫用導致的安全風險。

• 不要把RAM用戶的AccessKey ID和AccessKey Secret保存在工程代碼中，否則可能導致AK泄露，威脅您賬號下所有資源的安全。建議您使用STS或環境變量等方式獲取訪問授權。

• 滿足條件時對RAM用戶設置SSO單點登錄功能，實現直接使用企業自有的身份登錄并訪問阿里云資源。

RAM用戶相關操作

• RAM用戶管理

• AK安全方案

• RAM用戶SSO管理

RAM用戶組

當您的阿里云賬號下有多個RAM用戶時，可以通過創建用戶組對職責相同的RAM用戶進行分組管理和批量授權，實現高效地管理RAM用戶及其權限。對于RAM用戶組的使用，建議您：

• 在對RAM用戶組授權時遵循最小權限策略原則。

• 在RAM用戶職責發生變化時將其從不再歸屬的用戶組中移除，避免權限濫用。

• 在某個用戶組不再需要某些權限時移除用戶組對應的權限。

RAM用戶組相關操作

• RAM用戶組管理

身份管理相關文檔

• 阿里云身份與權限

• RAM基本概念

• RAM相關使用限制