RAM用戶(hù)常見(jiàn)問(wèn)題
本文介紹了RAM用戶(hù)常見(jiàn)問(wèn)題,包括登錄、費(fèi)用和權(quán)限等問(wèn)題。
RAM用戶(hù)登錄地址和登錄方式是什么?
RAM用戶(hù)登錄地址: RAM用戶(hù)登錄地址。
通過(guò)登錄RAM控制臺(tái),在概覽頁(yè)可以快速查詢(xún)登錄RAM用戶(hù)登錄地址。當(dāng)您使用此地址登錄時(shí),系統(tǒng)會(huì)為您自動(dòng)填寫(xiě)默認(rèn)域名,您只需補(bǔ)齊RAM用戶(hù)名稱(chēng)即可。
RAM用戶(hù)登錄方式有以下幾種:
方式一:使用默認(rèn)域名登錄。RAM用戶(hù)的登錄格式為
<UserName>@<AccountAlias>.onaliyun.com,例如:username@company-alias.onaliyun.com。說(shuō)明RAM用戶(hù)的登錄賬號(hào)為UPN(User Principal Name)格式,即RAM控制臺(tái)用戶(hù)列表中所見(jiàn)的用戶(hù)登錄名稱(chēng)。
<UserName>為RAM用戶(hù)名稱(chēng),<AccountAlias>.onaliyun.com為默認(rèn)域名。關(guān)于默認(rèn)域名的更多信息,請(qǐng)參見(jiàn)基本概念和查看和修改默認(rèn)域名。方式二:使用賬號(hào)別名登錄。RAM用戶(hù)的登錄格式為
<UserName>@<AccountAlias>,例如:username@company-alias。說(shuō)明<UserName>為RAM用戶(hù)名稱(chēng),<AccountAlias>為賬號(hào)別名。關(guān)于賬號(hào)別名的更多信息,請(qǐng)參見(jiàn)基本概念和查看和修改默認(rèn)域名。方式三:如果創(chuàng)建了域別名,也可以使用域別名登錄。RAM用戶(hù)的登錄格式為
<UserName>@<DomainAlias>,例如:username@example.com。說(shuō)明<UserName>為RAM用戶(hù)名稱(chēng),<DomainAlias>為域別名。關(guān)于域別名的更多信息,請(qǐng)參見(jiàn)基本概念和創(chuàng)建并驗(yàn)證域別名。
什么是默認(rèn)域名和域別名?
阿里云為每個(gè)阿里云賬號(hào)分配了一個(gè)默認(rèn)域名,格式為:<AccountAlias>.onaliyun.com。默認(rèn)域名可作為RAM用戶(hù)登錄或單點(diǎn)登錄(SSO)等場(chǎng)景下該阿里云賬號(hào)的唯一標(biāo)識(shí)符。關(guān)于如何設(shè)置默認(rèn)域名,請(qǐng)參見(jiàn)查看和修改默認(rèn)域名。
如果您持有公網(wǎng)上可以解析的域名,那么您可以使用該域名替代您的默認(rèn)域名,該域名稱(chēng)為域別名。域別名就是指默認(rèn)域名的別名。關(guān)于如何設(shè)置域別名,請(qǐng)參見(jiàn)創(chuàng)建并驗(yàn)證域別名。
域別名必須經(jīng)過(guò)域名歸屬驗(yàn)證后才能使用。驗(yàn)證通過(guò)后,您可以使用域別名替代默認(rèn)域名,用于所有需要使用默認(rèn)域名的場(chǎng)景。
RAM用戶(hù)采購(gòu)云產(chǎn)品需要什么權(quán)限?
如需采購(gòu)按量付費(fèi)的云產(chǎn)品,一般只需給RAM用戶(hù)分配該云產(chǎn)品的創(chuàng)建實(shí)例或創(chuàng)建資源的權(quán)限即可。
如需采購(gòu)包年包月的云產(chǎn)品,還需要額外授予支付訂單的權(quán)限,即授予用戶(hù)
AliyunBSSOrderAccess的權(quán)限策略。某些云產(chǎn)品在購(gòu)買(mǎi)時(shí)需要使用或創(chuàng)建其他多種資源,這種情況下需要RAM用戶(hù)具備相應(yīng)資源的讀取或創(chuàng)建權(quán)限。
以下以創(chuàng)建ECS實(shí)例為例,說(shuō)明具體需要的權(quán)限。
如下權(quán)限策略表示RAM用戶(hù)可以從實(shí)例啟動(dòng)模板創(chuàng)建ECS實(shí)例:
{ "Version": "1", "Statement": [{ "Action": [ "ecs:DescribeLaunchTemplates", "ecs:CreateInstance", "ecs:RunInstances", "ecs:DescribeInstances", "ecs:DescribeImages", "ecs:DescribeSecurityGroups" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:DescribeVpcs", "vpc:DescribeVSwitches" ], "Resource": "*", "Effect": "Allow" } ] }如果需要RAM用戶(hù)在創(chuàng)建ECS實(shí)例過(guò)程中使用或創(chuàng)建其他資源,根據(jù)資源類(lèi)型不同,還需要授予下表所示的對(duì)應(yīng)權(quán)限。
操作
權(quán)限策略
使用快照創(chuàng)建ECS實(shí)例
ecs:DescribeSnapshots同時(shí)創(chuàng)建并使用新的VPC
vpc:CreateVpcvpc:CreateVSwitch
同時(shí)創(chuàng)建并使用新的安全組
ecs:CreateSecurityGroupecs:AuthorizeSecurityGroup
指定實(shí)例角色
ecs:DescribeInstanceRamRoleram:ListRolesram:PassRole
使用Keypair
ecs:CreateKeyPairecs:DescribeKeyPairs
在專(zhuān)有宿主機(jī)上創(chuàng)建ECS實(shí)例
ecs:AllocateDedicatedHosts說(shuō)明關(guān)于如何創(chuàng)建自定義策略,請(qǐng)參見(jiàn)創(chuàng)建自定義權(quán)限策略。
關(guān)于如何為RAM用戶(hù)授權(quán),請(qǐng)參見(jiàn)為RAM用戶(hù)授權(quán)。
為什么RAM用戶(hù)被授權(quán)后依然無(wú)訪問(wèn)權(quán)限?
對(duì)于支持權(quán)限診斷的云服務(wù),您可以直接查看無(wú)權(quán)限原因及對(duì)應(yīng)的處理策略。具體操作,請(qǐng)參見(jiàn)如何排查無(wú)權(quán)限的訪問(wèn)錯(cuò)誤?。
對(duì)于不支持權(quán)限診斷的云服務(wù),您可以參照下表分析原因并解決無(wú)權(quán)限問(wèn)題。
問(wèn)題原因
解決方案
權(quán)限策略錯(cuò)誤。
檢查RAM用戶(hù)的權(quán)限策略,保證權(quán)限策略正確且符合預(yù)期。
自定義策略中設(shè)置了拒絕策略。
檢查RAM用戶(hù)的權(quán)限策略和RAM用戶(hù)加入的RAM用戶(hù)組的權(quán)限策略中是否對(duì)相關(guān)資源或操作設(shè)置了
"Effect": "Deny"。例如:RAM用戶(hù)擁有只讀訪問(wèn)云服務(wù)器ECS的權(quán)限AliyunECSReadOnlyAccess,但如果同時(shí)也擁有如下權(quán)限策略,根據(jù)RAM的Deny優(yōu)先原則,該RAM用戶(hù)無(wú)法查看ECS資源。{ "Statement": [{ "Action": "ecs:*", "Effect": "Deny", "Resource": "*" }], "Version": "1" }資源不支持對(duì)應(yīng)的鑒權(quán)方式。
不同云服務(wù)對(duì)不同鑒權(quán)方式的支持情況不同,請(qǐng)檢查并使用對(duì)應(yīng)支持的鑒權(quán)方式。
支持RAM鑒權(quán)的云服務(wù):支持RAM的云服務(wù)。
支持資源組鑒權(quán)的云服務(wù):支持資源組的云服務(wù)。
支持標(biāo)簽鑒權(quán)的云服務(wù):訪問(wèn)標(biāo)簽控制臺(tái),在資源類(lèi)型能力項(xiàng)頁(yè)簽下的資源類(lèi)型鑒權(quán)列,顯示支持的資源類(lèi)型。
受到資源目錄管控策略的影響。
如果被授權(quán)的RAM用戶(hù)所屬的主賬號(hào)是資源目錄的成員,且資源目錄啟用并設(shè)置了拒絕訪問(wèn)某資源的管控策略,則RAM用戶(hù)無(wú)權(quán)訪問(wèn)該資源。此時(shí),您需要聯(lián)系資源目錄的管理賬號(hào),修改或解綁該管控策略。具體操作如下:
為什么RAM用戶(hù)沒(méi)有權(quán)限仍然可以操作?
例如:RAM用戶(hù)沒(méi)有ECS的AliyunECSFullAccess或者AliyunECSReadOnlyAccess系統(tǒng)策略,也沒(méi)有添加任何自定義策略,但可以查看實(shí)例列表。
請(qǐng)檢查RAM用戶(hù)所在的用戶(hù)組權(quán)限策略中是否存在允許RAM用戶(hù)操作的相應(yīng)權(quán)限。
請(qǐng)確認(rèn)當(dāng)前已經(jīng)被授權(quán)給RAM用戶(hù)的其他權(quán)限策略中是否包含了相關(guān)權(quán)限。
例如:云監(jiān)控的系統(tǒng)權(quán)限策略為
AliyunCloudMonitorFullAccess,此權(quán)限包括查看ECS實(shí)例列表的權(quán)限:"ecs:DescribeInstances",查看RDS實(shí)例列表的權(quán)限:"rds:DescribeDBInstances"和查看SLB實(shí)例列表的權(quán)限"slb:DescribeLoadBalancer"等。當(dāng)AliyunCloudMonitorFullAccess被授權(quán)給RAM用戶(hù)后,該RAM用戶(hù)便有權(quán)限查看ECS、RDS和SLB等云產(chǎn)品的實(shí)例信息。
怎樣授權(quán)RAM用戶(hù)單獨(dú)管理續(xù)費(fèi)?
目前續(xù)費(fèi)管理沒(méi)有統(tǒng)一的權(quán)限策略,需要根據(jù)具體云產(chǎn)品自定義權(quán)限策略。一般需要授予RAM用戶(hù)購(gòu)買(mǎi)該云產(chǎn)品所需要的權(quán)限以及支付訂單的權(quán)限。
例如:RAM用戶(hù)管理ECS實(shí)例續(xù)費(fèi)的權(quán)限,您需要為RAM用戶(hù)授予以下自定義權(quán)限策略,還要授予AliyunBSSOrderAccess系統(tǒng)權(quán)限策略。
{
"Version": "1",
"Statement": [{
"Action": [
"ecs:DescribeLaunchTemplates",
"ecs:RenewInstance",
"ecs:DescribeInstances",
"ecs:DescribeImages",
"ecs:DescribeSecurityGroups"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*",
"Effect": "Allow"
}
]
}RAM用戶(hù)使用資源所產(chǎn)生的費(fèi)用怎么計(jì)算?
RAM用戶(hù)使用資源所產(chǎn)生的費(fèi)用由其所屬的阿里云賬號(hào)承擔(dān)。
RAM用戶(hù)可以自動(dòng)享有阿里云賬號(hào)享有的折扣,無(wú)需特殊設(shè)置。
消費(fèi)額度、信用額度和獨(dú)立付款方式等財(cái)務(wù)相關(guān)屬性均為阿里云賬號(hào)內(nèi)的全局設(shè)置,影響所有RAM用戶(hù)。不支持為某個(gè)RAM用戶(hù)單獨(dú)設(shè)置。
RAM用戶(hù)可以被授權(quán)進(jìn)行充值操作,充值后的金額歸屬于阿里云賬號(hào)。
RAM用戶(hù)或RAM用戶(hù)組不能作為獨(dú)立的財(cái)務(wù)單元出賬單。
若有阿里云賬號(hào)內(nèi)的分賬需求,推薦您使用資源管理服務(wù)。更多信息,請(qǐng)參見(jiàn)資源組分賬和標(biāo)簽分賬概述。
為什么RAM授權(quán)后,沒(méi)有立刻在云產(chǎn)品中生效?
RAM采用多地域(Region)、多可用區(qū)(AZ)部署的高可用架構(gòu),數(shù)據(jù)在不同的Region間復(fù)制,并遵從最終一致性。當(dāng)您在RAM中進(jìn)行授權(quán)后,RAM會(huì)將授權(quán)信息同步分發(fā)到全球各個(gè)Region以及AZ中,為各個(gè)云產(chǎn)品提供鑒權(quán)能力。當(dāng)某個(gè)AZ或者Region發(fā)生宕機(jī)后,RAM高可用容災(zāi)機(jī)制會(huì)切換到其它可用的AZ。
授權(quán)信息分發(fā)機(jī)制需要一定的時(shí)間來(lái)確保授權(quán)生效。當(dāng)您進(jìn)行授權(quán)變更后,需要等待一定的時(shí)間,授權(quán)才能在云產(chǎn)品中生效。
RAM會(huì)保證授權(quán)數(shù)據(jù)的最終一致性。