前提條件

進行操作前，請確保您已經注冊了阿里云賬號。如還未注冊，請先完成賬號注冊。

背景信息

企業A的某個項目（Project-X）上云，購買了多種阿里云資源，例如：ECS實例、RDS實例、SLB實例和OSS存儲空間等。項目里有多個員工需要操作這些云資源，由于每個員工的工作職責不同，需要的權限也不同。

企業A希望能夠達到以下要求：

• 企業A不希望多員工共享同一個云賬號，共享云賬號可能導致密碼或訪問密鑰泄露。
• 企業A希望能給員工創建獨立賬號（操作員賬號）并獨立分配權限，做到責權一致。
• 企業A希望用戶賬號只能在授權的前提下操作資源，所有用戶賬號的所有操作行為可審計。
• 企業A希望隨時可以撤銷用戶賬號身上的權限，也可以隨時刪除其創建的用戶賬號。
• 企業A不需要對用戶賬號進行獨立的計量計費，所有發生的費用統一計入云賬號賬單。

解決方案

• 為云賬號設置多因素認證，避免因云賬號密碼泄露導致風險。詳情請參見為云賬號設置多因素認證。
• 為不同員工（應用系統）創建RAM用戶，并按需設置登錄密碼或創建訪問密鑰。詳情請參見創建RAM用戶。
• 如果有多個員工的職責相同，建議創建用戶組，并將用戶添加到用戶組。詳情請參見創建用戶組。
• 為RAM用戶或用戶組添加一條或多條系統策略。詳情請參見為RAM用戶授權或為用戶組授權。如果需要更細粒度的授權，可以創建自定義策略并為RAM用戶或用戶組進行授權。詳情請參見創建自定義策略。
• 為不需要權限的RAM用戶或用戶組移除權限。詳情請參見為RAM用戶移除權限或為用戶組移除權限。