步驟一：創建RAM用戶組

1. 使用RAM管理員登錄RAM控制臺。

2. 在左側導航欄，選擇身份管理 > 用戶組。

3. 在用戶組頁面，單擊創建用戶組。

   

4. 在創建用戶組頁面，輸入用戶組名稱、顯示名稱和備注。

5. 單擊確定。

步驟二：為RAM用戶組添加RAM用戶

1. 使用RAM管理員登錄RAM控制臺。

2. 在左側導航欄，選擇身份管理 > 用戶。

3. 在用戶頁面，單擊目標RAM用戶操作列的添加到用戶組。

   

4. 在添加組成員面板，RAM用戶會自動填入，選擇該RAM用戶需要加入的RAM用戶組。

5. 單擊確定。

6. 單擊完成。

步驟三（可選）：創建自定義權限策略

RAM提供了兩種權限策略：系統權限策略和自定義權限策略。系統權限策略由阿里云統一提供，不支持修改。如果系統權限策略不能滿足您的需求，您可以按需創建自定義權限策略，實現精細化權限管理。

創建自定義權限策略有多種方式，如下將以通過可視化編輯模式創建自定義權限策略為例為您介紹。更多其他方式，請參見創建自定義權限策略。

1. 使用RAM管理員登錄RAM控制臺。

2. 在左側導航欄，選擇權限管理 > 權限策略。

3. 在權限策略頁面，單擊創建權限策略。

   

4. 在創建權限策略頁面，單擊可視化編輯頁簽。

   

5. 配置權限策略。

   關于權限策略基本元素的詳情，請參見權限策略基本元素。

   1. 在效果區域，選擇允許或拒絕。

   2. 在服務區域，選擇云服務。

      說明

      支持可視化編輯模式的云服務以控制臺界面顯示為準。

   3. 在操作區域，選擇全部操作或指定操作。

      系統會根據您上一步選擇的云服務，自動篩選出可以配置的操作。如果您選擇了指定操作，您需要繼續選擇具體的操作。

   4. 在資源區域，選擇全部資源或指定資源。

      系統會根據您上一步選擇的操作，自動篩選出可以配置的資源類型。如果您選擇了指定資源，您需要繼續單擊添加資源，配置具體的資源ARN。您可以使用匹配全部功能，快速選擇對應配置項的全部資源。

      說明

      為了權限策略的正常生效，對操作關聯的必要資源ARN標識了必要，強烈建議您配置該資源ARN。

   5. 在條件區域，單擊添加條件，配置條件。

      條件包括阿里云通用條件和服務級條件，系統會根據您前面配置的云服務和操作，自動篩選出可以配置的條件列表。您只需要選擇對應條件鍵配置具體內容。

   6. 單擊添加語句，重復上述步驟，配置多條權限策略語句。

6. 單擊頁面上方的可選：高級策略優化，然后單擊執行，對權限策略內容進行高級優化。

   高級權限策略優化功能會完成以下任務：

   • 拆分不兼容操作的資源或條件。

   • 收縮資源到更小范圍。

   • 去重或合并語句。

7. 在創建權限策略頁面，單擊確定。

8. 在創建權限策略對話框，輸入權限策略名稱和備注，然后單擊確定。

步驟四：為RAM用戶組授權

授權時，建議遵循最小化原則，僅授予必要的權限。

1. 使用RAM管理員登錄RAM控制臺。

2. 在左側導航欄，選擇身份管理 > 用戶組。

3. 在用戶組頁面，單擊目標RAM用戶組操作列的添加權限。

   

   您也可以選中多個RAM用戶組，單擊RAM用戶組列表下方的添加權限，為RAM用戶組批量授權。

4. 在添加權限面板，為RAM用戶組添加權限。

   1. 選擇資源范圍。

      • 賬號級別：權限在當前阿里云賬號內生效。

      • 資源組級別：權限在指定的資源組內生效。

        說明

        指定資源組授權生效的前提是該云服務及資源類型已支持資源組，詳情請參見支持資源組的云服務。

   2. 選擇授權主體。

      授權主體即需要添加權限的RAM用戶組。系統會自動選擇當前的RAM用戶組。

   3. 選擇權限策略。

      權限策略是一組訪問權限的集合。支持批量選中多條權限策略。

      • 系統策略：由阿里云創建，策略的版本更新由阿里云維護，用戶只能使用不能修改。更多信息，請參見支持RAM的云服務。

        說明

        系統會自動標識出高風險系統策略（例如：AdministratorAccess、AliyunRAMFullAccess等），授權時，盡量避免授予不必要的高風險權限策略。

      • 自定義策略：由用戶管理，策略的版本更新由用戶維護。用戶可以自主創建、更新和刪除自定義策略。更多信息，請參見創建自定義權限策略。

   4. 單擊確認新增授權。

5. 單擊關閉。