您可以創建RAM用戶并為其授權,實現不同RAM用戶擁有不同資源訪問權限的目的。當您的企業存在多用戶協同訪問資源的場景時,使用RAM可以按需為用戶分配最小權限,避免多用戶共享阿里云賬號(主賬號)密碼或訪問密鑰,從而降低企業的安全風險。阿里云基于最佳實踐,提供了常見場景的快速配置方式,且預置了對應RAM用戶的權限策略,方便您快速創建RAM用戶并授權。同時,您也可以根據自己的實際業務需求,采用手動配置的方式,手動創建RAM用戶并授權。
快速配置
步驟一:創建RAM用戶并授權
使用阿里云賬號(主賬號)登錄RAM控制臺。
在概覽頁面,單擊快速開始頁簽。
從系統提供的場景中選擇您的目標場景。
例如:您可以選擇網絡管理員,該網絡管理員負責企業的網絡架構搭建和管理,可開通、購買、創建網絡相關服務,擁有網絡服務的所有權限和ECS安全組的權限。
查看或修改配置參數。
您可以查看預置的全部參數,但只能修改部分參數,請以控制臺界面顯示為準。
單擊執行配置。
查看配置進度,等待配置完成后,保存RAM用戶名和登錄密碼。
通過快速配置方式創建的RAM用戶,后續可以在RAM控制臺對應功能菜單下修改其配置信息。
步驟二:RAM用戶登錄阿里云控制臺
使用新創建的RAM用戶登錄阿里云控制臺。
說明RAM用戶登錄頁面與阿里云賬號(主賬號)登錄頁面不同。更多信息,請參見RAM用戶登錄阿里云控制臺。
在RAM用戶登錄頁面的RAM用戶名密碼登錄頁簽,輸入RAM用戶名,單擊下一步。
輸入RAM用戶的登錄密碼,單擊登錄。
說明為保證RAM用戶的賬號安全,控制臺登錄或在控制臺進行敏感操作時除使用用戶名和密碼驗證外,您還可以綁定MFA設備,用于二次身份驗證。具體操作,請參見為RAM用戶綁定MFA設備。
手動配置
步驟一:創建RAM用戶
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊創建用戶。
在創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。
登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。
說明單擊添加用戶,可以批量創建多個RAM用戶。
在訪問方式區域,選擇訪問方式,然后設置對應參數。
為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。
控制臺訪問
如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和登錄密碼訪問阿里云。您需要設置以下參數:
控制臺登錄密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規則。更多信息,請參見設置RAM用戶密碼強度。
密碼重置策略:選擇RAM用戶在下次登錄時是否需要重置密碼。
多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。啟用MFA后,還需要綁定MFA設備。更多信息,請參見為RAM用戶綁定MFA設備。
使用永久AccessKey訪問
如果RAM用戶代表應用程序,您可以使用永久訪問密鑰(AccessKey)訪問阿里云。啟用后,系統會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。更多信息,請參見創建AccessKey。
重要RAM用戶的AccessKey Secret只在創建時顯示,不支持查看,請妥善保管。
訪問密鑰(AccessKey)是一種長期有效的程序訪問憑證。AccessKey泄露會威脅該賬號下所有資源的安全。建議優先采用STS Token臨時憑證方案,降低憑證泄露的風險。更多信息,請參見使用訪問憑據訪問阿里云OpenAPI最佳實踐。
單擊確定。
根據界面提示,完成安全驗證。
步驟二(可選):創建自定義權限策略
RAM提供了兩種權限策略:系統權限策略和自定義權限策略。系統權限策略由阿里云統一提供,不支持修改。如果系統權限策略不能滿足您的需求,您可以按需創建自定義權限策略,實現精細化權限管理。
創建自定義權限策略有多種方式,如下將以通過可視化編輯模式創建自定義權限策略為例為您介紹。更多其他方式,請參見創建自定義權限策略。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在權限策略頁面,單擊創建權限策略。
在創建權限策略頁面,單擊可視化編輯頁簽。
配置權限策略。
關于權限策略基本元素的詳情,請參見權限策略基本元素。
在效果區域,選擇允許或拒絕。
在服務區域,選擇云服務。
說明支持可視化編輯模式的云服務以控制臺界面顯示為準。
在操作區域,選擇全部操作或指定操作。
系統會根據您上一步選擇的云服務,自動篩選出可以配置的操作。如果您選擇了指定操作,您需要繼續選擇具體的操作。
在資源區域,選擇全部資源或指定資源。
系統會根據您上一步選擇的操作,自動篩選出可以配置的資源類型。如果您選擇了指定資源,您需要繼續單擊添加資源,配置具體的資源ARN。您可以使用匹配全部功能,快速選擇對應配置項的全部資源。
說明為了權限策略的正常生效,對操作關聯的必要資源ARN標識了必要,強烈建議您配置該資源ARN。
在條件區域,單擊添加條件,配置條件。
條件包括阿里云通用條件和服務級條件,系統會根據您前面配置的云服務和操作,自動篩選出可以配置的條件列表。您只需要選擇對應條件鍵配置具體內容。
單擊添加語句,重復上述步驟,配置多條權限策略語句。
單擊頁面上方的可選:高級策略優化,然后單擊執行,對權限策略內容進行高級優化。
高級權限策略優化功能會完成以下任務:
拆分不兼容操作的資源或條件。
收縮資源到更小范圍。
去重或合并語句。
在創建權限策略頁面,單擊確定。
在創建權限策略對話框,輸入權限策略名稱和備注,然后單擊確定。
步驟三:為RAM用戶授權
授權時,建議遵循最小化原則,僅授予必要的權限。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。系統會自動選擇當前的RAM用戶。
選擇權限策略。
權限策略是一組訪問權限的集合,分為以下兩種。支持批量選中多條權限策略。
單擊確認新增授權。
單擊關閉。
步驟四:RAM用戶登錄阿里云控制臺
使用新創建的RAM用戶登錄阿里云控制臺。
說明RAM用戶登錄頁面與阿里云賬號(主賬號)登錄頁面不同。更多信息,請參見RAM用戶登錄阿里云控制臺。
在RAM用戶登錄頁面的RAM用戶名密碼登錄頁簽,輸入RAM用戶名,單擊下一步。
輸入RAM用戶的登錄密碼,單擊登錄。
說明為保證RAM用戶的賬號安全,控制臺登錄或在控制臺進行敏感操作時除使用用戶名和密碼驗證外,您還可以綁定MFA設備,用于二次身份驗證。具體操作,請參見為RAM用戶綁定MFA設備。