賬號授權
磐曦智創(chuàng)平臺入門準備工作及接入流程,賬號申請后進行RAM授權
服務端接入
磐曦智創(chuàng)平臺服務端接入依賴OpenAPI
利用阿里云賬號生成對應的AK/SK,用于API調用
生成AK/SK的阿里云賬號需進行RAM授權配置
調用OpenAPI,具體操作詳見磐曦智創(chuàng)openAPI
RAM授權配置
創(chuàng)建RAM用戶
RAM用戶即RAM賬號,是RAM的一種實體身份類型。您可以為阿里云賬號(主賬號)創(chuàng)建RAM用戶并為其授權,實現(xiàn)不同RAM用戶擁有不同資源訪問權限的目的。
操作步驟
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇身份管理>用戶。
在用戶頁面,單擊創(chuàng)建用戶。
在創(chuàng)建用戶頁面的用戶賬號信息區(qū)域,設置用戶基本信息。
登錄名稱:可包含英文字母、數(shù)字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續(xù)基于標簽的用戶管理。
說明
單擊添加用戶,可以批量創(chuàng)建多個RAM用戶。
在訪問方式區(qū)域,選擇訪問方式,然后設置對應參數(shù)。
為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。
控制臺訪問
如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和登錄密碼訪問阿里云。您需要設置以下參數(shù):
控制臺登錄密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規(guī)則。
密碼重置策略:選擇RAM用戶在下次登錄時是否需要重置密碼。
多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。啟用MFA后,主賬號還需要為RAM用戶綁定MFA設備或RAM用戶自行綁定MFA設備。
OpenAPI調用訪問
如果RAM用戶代表應用程序,建議啟用OpenAPI調用訪問,使用訪問密鑰(AccessKey)訪問阿里云。啟用后,系統(tǒng)會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。
重要
RAM用戶的AccessKey Secret只在創(chuàng)建時顯示,不支持查看,請妥善保管。
單擊確定。
根據(jù)界面提示,完成安全驗證。
后續(xù)步驟
為RAM用戶授權。
新創(chuàng)建的RAM用戶沒有任何權限,您需要為RAM用戶添加權限,然后該RAM用戶才能訪問相應的云資源。
使用RAM用戶登錄阿里云控制臺或使用AccessKey調用API。
為RAM用戶授權
為RAM用戶授予RAM的系統(tǒng)策略或自定義策略后,RAM用戶就能以策略中對應的權限訪問阿里云資源。建議您遵循最小化原則,按需授予RAM用戶必要的權限。
使用限制
每個RAM用戶允許綁定的系統(tǒng)策略和自定義策略最大數(shù)量
方式一:在RAM用戶頁面為RAM用戶授權
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇身份管理>用戶。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要
指定資源組授權生效的前提是該云服務及資源類型已支持資源組。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。系統(tǒng)會自動選擇當前的RAM用戶。
選擇權限策略。
權限策略是一組訪問權限的集合,分為以下兩種。支持批量選中多條權限策略。
系統(tǒng)策略:由阿里云創(chuàng)建,策略的版本更新由阿里云維護,用戶只能使用不能修改。
說明
系統(tǒng)會自動標識出高風險系統(tǒng)策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限策略。
自定義策略:由用戶管理,策略的版本更新由用戶維護。用戶可以自主創(chuàng)建、更新和刪除自定義策略。
單擊確認新增授權。
單擊關閉。
方式二:在授權頁面為RAM用戶授權
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇權限管理>授權。
在授權頁面,單擊新增授權。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要
指定資源組授權生效的前提是該云服務及資源類型已支持資源組。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。支持批量選中多個RAM用戶。
選擇權限策略。
權限策略是一組訪問權限的集合,分為以下兩種。支持批量選中多條權限策略。
系統(tǒng)策略:由阿里云創(chuàng)建,策略的版本更新由阿里云維護,用戶只能使用不能修改。
說明
系統(tǒng)會自動標識出高風險系統(tǒng)策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限策略。
自定義策略:由用戶管理,策略的版本更新由用戶維護。用戶可以自主創(chuàng)建、更新和刪除自定義策略。
單擊確認新增授權。
單擊關閉。
RAM用戶登錄阿里云控制臺
更新時間:2023年11月27日 16:38:44
本文為您介紹RAM用戶如何登錄阿里云控制臺,包括登錄入口和操作步驟。
登錄入口
通用登錄地址
阿里云賬號專屬登錄地址
阿里云賬號登錄RAM控制臺,在概覽頁的賬號信息區(qū)域,獲取RAM用戶登錄地址。RAM用戶使用該地址登錄阿里云控制臺。
RAM用戶專屬登錄地址
在登錄地址中使用
username參數(shù)指定RAM用戶名,登錄過程中免輸用戶名,直接單擊下一步輸入密碼即可。username使用UPN(User Principal Name)格式,即RAM控制臺用戶列表中所見的用戶登錄名稱。例如:一個名為Alice@example.onaliyun.com的RAM用戶可以使用https://signin.aliyun.com/login.htm?username=Alice@example.onaliyun.com登錄阿里云控制臺。
使用RAM用戶名密碼登錄
以下操作以RAM用戶使用通用登錄地址登錄阿里云控制臺為例。
RAM用戶登錄阿里云控制臺。
在RAM用戶名密碼登錄頁簽,輸入RAM用戶名,單擊下一步。
方式一:使用默認域名登錄。RAM用戶的登錄格式為
<UserName>@<AccountAlias>.onaliyun.com,例如:username@company-alias.onaliyun.com。說明
<UserName>為RAM用戶名稱,<AccountAlias>.onaliyun.com為默認域名。方式二:使用賬號別名登錄。RAM用戶的登錄格式為
<UserName>@<AccountAlias>,例如:username@company-alias。說明
<UserName>為RAM用戶名稱,<AccountAlias>為賬號別名。方式三:如果創(chuàng)建了域別名,也可以使用域別名登錄。RAM用戶的登錄格式為
<UserName>@<DomainAlias>,例如:username@example.com。說明
<UserName>為RAM用戶名稱,<DomainAlias>為域別名。
輸入RAM用戶的登錄密碼,然后單擊登錄。
(可選)如果您開啟了多因素認證(MFA),則需要輸入虛擬MFA設備生成的驗證碼,或通過U2F安全密鑰認證。