本文主要介紹RAM用戶(子賬號)的創建及授權、用戶組的創建及授權、創建權限策略及授權說明。
基本概念
RAM用戶即子賬號,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程序一一對應。RAM用戶具備以下特點:
RAM用戶由阿里云賬號(主賬號)或具有管理員權限的其他RAM用戶、RAM角色創建,創建成功后,歸屬于該阿里云賬號,它不是獨立的阿里云賬號。
RAM用戶不擁有資源,不能獨立計量計費,由所屬的阿里云賬號統一付費。
RAM用戶必須在獲得授權后,才能登錄控制臺或使用API訪問阿里云賬號下的資源。
RAM用戶擁有獨立的登錄密碼或訪問密鑰。
一個阿里云賬號下可以創建多個RAM用戶,作為對應企業內的員工、系統或應用程序。
為了保護您的阿里云賬號(主賬號)安全,建議您創建一個RAM用戶(子賬號),并授予該RAM用戶管理阿里云賬號下相關資源的權限。
使用流程
登錄阿里云賬號后進入RAM訪問控制臺,創建用戶。創建用戶時,訪問方式選擇Open API調用訪問。用戶創建完成后,還需要創建用戶的AccessKey,詳情參照創建AccessKey獲取RAM用戶AccessKey。
為RAM用戶授權(授權前需先創建權限策略)。
為RAM用戶授予不同的資源訪問權限。具體操作,請參見為RAM用戶授權。
用戶組的創建及授權
訪問控制(RAM)通過用戶組對職責相同的RAM用戶進行分類并授權,可以更加高效地管理RAM用戶及其權限。(若您不需要此項內容,則無需配置)
創建權限策略
如果不需要進行權限的細分,則可以跳過該步驟及下一步授權。
下文以創建本產品全功能的權限策略為例。
在RAM訪問控制頁面,選擇權限管理中的權限策略,單擊創建權限策略,選擇腳本編輯。
輸入如下腳本,編輯基本信息(包括名稱和備注),即可完成權限策略的創建。
{
"Version": "1",
"Statement": [
{
"Action": "xgip:*",
"Resource": "acs:xgip:*:*:*",
"Effect": "Allow"
}
]
}更多5G互聯平臺權限策略實例參考權限策略實例庫。
授權
在權限管理中進行授權>新增授權操作。
操作流程:
授權范圍:整個云賬號下的資源,或者指定資源組。
授權主體:創建的用戶或者用戶組。
選擇自定義策略,選擇之前創建的策略。
