用戶可以使用RAM用戶訪問(wèn)物聯(lián)網(wǎng)平臺(tái)資源。本文介紹如何創(chuàng)建RAM用戶,如何授予RAM用戶訪問(wèn)物聯(lián)網(wǎng)平臺(tái)資源的權(quán)限,和RAM用戶如何登錄物聯(lián)網(wǎng)平臺(tái)控制臺(tái)。

前提條件

您需先創(chuàng)建RAM用戶,并通過(guò)授權(quán)策略授予RAM用戶訪問(wèn)物聯(lián)網(wǎng)平臺(tái)的權(quán)限。創(chuàng)建自定義授權(quán)策略的方法,請(qǐng)參見(jiàn)自定義權(quán)限

警告 使用root權(quán)限操作或過(guò)度授權(quán),會(huì)導(dǎo)致操作人員因權(quán)限過(guò)大、隨意操作后引發(fā)安全風(fēng)險(xiǎn)或造成資損。請(qǐng)謹(jǐn)慎操作。

創(chuàng)建RAM用戶

如果您已有RAM用戶,請(qǐng)忽略此操作。

  1. 使用阿里云賬號(hào)登錄RAM控制臺(tái)。
  2. 在左側(cè)導(dǎo)航欄,選擇身份管理 > 用戶
  3. 用戶頁(yè)面,單擊創(chuàng)建用戶
  4. 創(chuàng)建用戶頁(yè)面的用戶賬號(hào)信息區(qū)域,設(shè)置用戶基本信息。
    • 登錄名稱:可包含英文字母、數(shù)字、半角句號(hào)(.)、短劃線(-)和下劃線(_),最多64個(gè)字符。
    • 顯示名稱:最多包含128個(gè)字符。
    • 可選:標(biāo)簽:您可以單擊edit,然后輸入標(biāo)簽鍵和標(biāo)簽值。為RAM用戶綁定標(biāo)簽,便于后續(xù)基于標(biāo)簽的用戶管理。
    說(shuō)明 單擊添加用戶,可以批量創(chuàng)建多個(gè)RAM用戶。
  5. 訪問(wèn)方式區(qū)域,選擇訪問(wèn)方式,然后設(shè)置對(duì)應(yīng)參數(shù)。

    為了賬號(hào)安全,建議您只選擇以下訪問(wèn)方式中的一種,將人員用戶和應(yīng)用程序用戶分離,避免混用。

    • 控制臺(tái)訪問(wèn)

      如果RAM用戶代表人員,建議啟用控制臺(tái)訪問(wèn),使用用戶名和密碼訪問(wèn)阿里云。啟用后,您需要設(shè)置以下參數(shù):

      • 控制臺(tái)密碼:選擇自動(dòng)生成密碼或者自定義密碼。自定義登錄密碼時(shí),密碼必須滿足密碼復(fù)雜度規(guī)則。更多信息,請(qǐng)參見(jiàn)設(shè)置RAM用戶密碼強(qiáng)度。
      • 密碼重置策略:選擇在下次登錄時(shí)是否需要重置密碼。
      • 多因素認(rèn)證(MFA)策略:選擇是否為當(dāng)前RAM用戶啟用MFA。選擇啟用MFA后,RAM用戶登錄控制臺(tái)時(shí),需要綁定MFA設(shè)備。更多信息,請(qǐng)參見(jiàn)為RAM用戶啟用多因素認(rèn)證。
    • OpenAPI調(diào)用訪問(wèn)

      如果RAM用戶代表應(yīng)用程序,建議啟用OpenAPI調(diào)用訪問(wèn),使用訪問(wèn)密鑰(AccessKey)訪問(wèn)阿里云。啟用后,系統(tǒng)會(huì)自動(dòng)為RAM用戶生成一個(gè)AccessKey ID和AccessKey Secret。更多信息,請(qǐng)參見(jiàn)創(chuàng)建AccessKey。

  6. 單擊確定。

RAM用戶創(chuàng)建完成后,RAM用戶便可通過(guò)RAM用戶登錄鏈接登錄阿里云官網(wǎng)和控制臺(tái)。RAM用戶登錄物聯(lián)網(wǎng)平臺(tái)控制臺(tái)的入口和步驟,請(qǐng)參見(jiàn)登錄入口RAM用戶登錄控制臺(tái)。

在獲得授權(quán)之前,該RAM用戶無(wú)法訪問(wèn)您的阿里云資源。您需為RAM用戶授予物聯(lián)網(wǎng)平臺(tái)的訪問(wèn)權(quán)限。

授權(quán)RAM用戶訪問(wèn)物聯(lián)網(wǎng)平臺(tái)

RAM控制臺(tái)中,您可以在用戶頁(yè)面,為單個(gè)RAM用戶進(jìn)行授權(quán);也可以在用戶組頁(yè),為整個(gè)群組授予相同的權(quán)限(具體操作,請(qǐng)參見(jiàn)為用戶組授權(quán))。本文以為單個(gè)RAM用戶授權(quán)為例,介紹授權(quán)操作步驟。

  1. 使用阿里云賬號(hào)登錄RAM控制臺(tái)。
  2. 在左側(cè)導(dǎo)航欄,選擇身份管理 > 用戶
  3. 用戶頁(yè)面,單擊目標(biāo)RAM用戶操作列的添加權(quán)限
  4. 添加權(quán)限面板,為RAM用戶添加權(quán)限。
    1. 選擇授權(quán)應(yīng)用范圍。
      • 整個(gè)云賬號(hào):權(quán)限在當(dāng)前阿里云賬號(hào)內(nèi)生效。
      • 指定資源組:權(quán)限在指定的資源組內(nèi)生效。
        說(shuō)明 指定資源組授權(quán)生效的前提是該云服務(wù)已支持資源組。更多信息,請(qǐng)參見(jiàn)支持資源組的云服務(wù)
    2. 輸入授權(quán)主體。
      授權(quán)主體即需要添加權(quán)限的RAM用戶。
    3. 選中您要授予該RAM用戶的物聯(lián)網(wǎng)平臺(tái)授權(quán)策略。
      說(shuō)明 每次最多綁定5條策略,如需綁定更多策略,請(qǐng)分次操作。
  5. 單擊確定。
  6. 單擊完成。

授權(quán)成功后,RAM用戶便可訪問(wèn)授權(quán)策略中定義的資源,和進(jìn)行授權(quán)策略中定義的操作。

RAM用戶登錄控制臺(tái)

阿里云主賬號(hào)登錄是從阿里云官網(wǎng)主頁(yè)直接登錄,但是RAM用戶需從RAM用戶登錄頁(yè)面登錄。登錄入口說(shuō)明,請(qǐng)參見(jiàn)登錄入口。

  1. RAM用戶登錄阿里云控制臺(tái)。
  2. RAM用戶名密碼登錄頁(yè)簽,輸入RAM用戶名,單擊下一步。
    • 方式一:使用默認(rèn)域名登錄。RAM用戶的登錄格式為<UserName>@<AccountAlias>.onaliyun.com,例如:username@company-alias.onaliyun.com。
      說(shuō)明 <UserName>為RAM用戶名稱,<AccountAlias>.onaliyun.com為默認(rèn)域名。關(guān)于默認(rèn)域名的更多信息,請(qǐng)參見(jiàn)基本概念查看和修改默認(rèn)域名。
    • 方式二:使用賬號(hào)別名登錄。RAM用戶的登錄格式為<UserName>@<AccountAlias>,例如:username@company-alias。
      說(shuō)明 <UserName>為RAM用戶名稱,<AccountAlias>為賬號(hào)別名。關(guān)于賬號(hào)別名的更多信息,請(qǐng)參見(jiàn)基本概念查看和修改默認(rèn)域名。
    • 方式三:如果創(chuàng)建了域別名,也可以使用域別名登錄。RAM用戶的登錄格式為<UserName>@<DomainAlias>,例如:username@example.com。
      說(shuō)明 <UserName>為RAM用戶名稱,<DomainAlias>為域別名。關(guān)于域別名的更多信息,請(qǐng)參見(jiàn)基本概念創(chuàng)建并驗(yàn)證域別名。
  3. 輸入RAM用戶的登錄密碼,然后單擊登錄
  4. (可選)如果您開(kāi)啟了多因素認(rèn)證(MFA),則需要輸入虛擬MFA設(shè)備生成的驗(yàn)證碼,或通過(guò)U2F安全密鑰認(rèn)證。

    更多信息,請(qǐng)參見(jiàn)多因素認(rèn)證(MFA)為RAM用戶啟用多因素認(rèn)證。

  5. 搜索產(chǎn)品與服務(wù)輸入框,輸入物聯(lián)網(wǎng)平臺(tái),然后單擊物聯(lián)網(wǎng)平臺(tái)進(jìn)入物聯(lián)網(wǎng)平臺(tái)控制臺(tái)。

RAM用戶登錄物聯(lián)網(wǎng)平臺(tái)控制臺(tái)后,便可在控制臺(tái)中進(jìn)行已獲授權(quán)的操作。