阿里云賬號

阿里云賬號（主賬號）是阿里云資源歸屬、資源使用計量計費的基本主體。阿里云賬號為其名下所擁有的資源付費，并對其名下所有資源擁有完全控制權限。除了一些要求必須使用阿里云賬號的場景外，我們建議您使用RAM用戶或RAM角色身份訪問控制臺和調用OpenAPI。

RAM 用戶

RAM用戶是RAM的一種實體身份類型，有確定的身份ID和身份憑證，它通常與某個確定的人或應用程序一一對應。RAM用戶具備以下特點：

• RAM用戶由阿里云賬號（主賬號）或具有管理員權限的其他RAM用戶、RAM角色創(chuàng)建，創(chuàng)建成功后，歸屬于該阿里云賬號，它不是獨立的阿里云賬號。
• RAM用戶不擁有資源，不能獨立計量計費，由所屬的阿里云賬號統(tǒng)一付費。
• RAM用戶必須在獲得授權后，才能登錄控制臺或使用API訪問阿里云賬號下的資源。
• RAM用戶擁有獨立的登錄密碼或訪問密鑰。
• 一個阿里云賬號下可以創(chuàng)建多個RAM用戶，對應企業(yè)內的員工、系統(tǒng)或應用程序。

更多詳情請參見RAM用戶概覽。

使用建議

創(chuàng)建獨立的 RAM 用戶

您可按照地域、產(chǎn)品、開發(fā)環(huán)境、組織等維度為不同的開發(fā)者創(chuàng)建多個獨立的 RAM 用戶。分權操作的好處是不同的 RAM 用戶有明確的業(yè)務歸屬，容易區(qū)分和操作分析。

多個用戶共享一個 RAM 用戶的壞處：

1. 一旦出現(xiàn)異常操作，只能確定是該 RAM 用戶執(zhí)行，但由于多個組織共享該 RAM 用戶，還是很難定位到具體的組織或人。

2. 一旦 RAM 用戶的 AK 泄漏，需要立即禁用 AK，很多業(yè)務可能都硬編碼了該 AK 信息，導致短時間內無法立即禁用 AK，只能等業(yè)務改造完畢后才能禁用，增大系統(tǒng)風險。

將控制臺用戶與API用戶分離

不建議為一個RAM用戶同時創(chuàng)建用于控制臺操作的登錄密碼和用于API調用的訪問密鑰。將兩個不同的使用場景進行分離，避免員工誤操作導致服務受到影響。

建議操作：

• 應用程序賬號：只需要通過API訪問資源，創(chuàng)建訪問密鑰即可。

• 員工賬號：只需要通過控制臺操作資源，設置登錄密碼即可。

RAM角色

RAM角色是一種虛擬用戶，可以被授予一組權限策略。與RAM用戶不同，RAM角色沒有永久身份憑證（登錄密碼或訪問密鑰），需要被一個可信實體扮演。扮演成功后，可信實體將獲得RAM角色的臨時身份憑證，即安全令牌（STS Token），使用該安全令牌就能以RAM角色身份訪問被授權的資源。

例如：阿里云賬號 A 開放了一個 RAM 角色a_rr1，授權 OSS 產(chǎn)品的FullAccess，將該 RAM 角色的扮演者指定為阿里云賬號 B 的 RAM 用戶b_ru1。那么開發(fā)者可通過登錄 B 賬號的 RAM 用戶b_ru1，通過角色扮演 A 賬號的a_rr1，管理 A 賬號的 OSS 資源。