使用RAM使用者代替主帳號,是保障您阿里雲帳號安全的最重要的操作之一。完成此步驟後,您應該不再使用阿里雲主帳號進行日常操作。
為什麼要用RAM使用者,而不是直接用主帳號?
阿里雲帳號(也稱主帳號),與RAM使用者(Resource Access Management,阿里雲提供的系統管理使用者身份與資源存取權限的服務,詳見什麼是存取控制)在身份許可權方面的對比和我們的建議如下:
對比項 | 主帳號 | RAM使用者 |
身份角色 | 資源的擁有者,擁有全部資產和最高許可權。 | 資源和服務的使用者,許可權由主帳號授予,通常與某個確定的人或應用程式對應。 |
是否擁有雲資源 | 是 | 否,資源歸屬主帳號 |
預設許可權 | 全部許可權,不可限制。 | 預設無任何許可權,需主帳號授權。 |
使用建議 | 僅用於授權、付費、帳號管理等關鍵管理操作。 | 日常開發、營運,部署等。 |
RAM使用者暫不支援查看帳號中心的主帳號資料,也不支援管理帳號中心的任何配置。
帳號安全的最佳實務
建立一個擁有管理員權限的RAM使用者,專門用於日常管理和技術操作。
阿里雲帳號僅在必要時使用,並妥善保管帳號密碼及MFA等相關憑證。
所有日常操作都通過Resource Access Management員使用者完成,避免阿里雲帳號暴露在日常環境中。
建立管理員權限的RAM使用者
以下步驟將指導您如何使用阿里雲帳號登入,來建立一個RAM使用者作為帳號的管理員。
快速建立
使用阿里雲帳號登入RAM控制台,在概覽頁面,單擊快速開始>帳號管理員。
查看帳號管理員的配置參數,單擊執行配置。
該帳號管理員預設啟用控制台訪問方式,繫結系統策略AdministratorAccess,具備管理所有阿里雲資源的許可權,
等待配置進度完成後,儲存該帳號管理員的RAM使用者名稱和登入密碼。
帳號管理員建立成功後,後續您可以在RAM控制台對應功能菜單下修改其配置參數。
手動建立
建立RAM使用者
使用阿里雲帳號(主帳號)登入RAM控制台,在左側導覽列,選擇身份管理>使用者, 單擊建立使用者。
輸入資訊並建立一個RAM使用者。
登入名稱稱:為您的管理員起一個名字,例如administrator。
顯示名稱:一個便於識別的別名,例如管理員。
訪問方式:根據實際情況選擇。建議您謹慎勾選OpenAPI訪問,詳情可參考使用訪問憑據訪問阿里雲OpenAPI最佳實務。
MFA:推薦勾選需要開啟MFA認證,後續綁定操作可參考為RAM使用者綁定MFA裝置。
根據介面提示,完成安全驗證。
為RAM使用者授權
在使用者頁面,找到目標RAM使用者,在操作列單擊添加許可權。
在新增授權面板,為RAM使用者添加系統權限原則AdministratorAccess,該權限原則具備管理所有阿里雲資源的許可權。
使用RAM使用者登入
立即登出主帳號。
使用RAM使用者登入阿里雲控制台。進入RAM使用者登入,輸入RAM使用者名稱,單擊下一步,輸入RAM使用者密碼,單擊登入。
從此以後,所有日常的雲資源管理、開發、營運等工作,都請使用這個Resource Access Management員使用者進行。
常見問題
這個RAM使用者和我的阿里雲帳號有什麼區別?
主要區別在於許可權的來源和管理方式。阿里雲帳號擁有系統預設的最高許可權,無法被其他帳號撤銷或限制。RAM使用者的許可權由主帳號分配,可以隨時調整、撤銷或禁用。
如果Resource Access Management員的憑證泄露,您可以用主帳號登入,刪除或禁用該RAM使用者,及時消除風險。但如果主帳號泄露,所有資源和許可權都將失去控制。
另外,部分操作如實名認證,修改帳號資訊,登出帳號等,仍需要主帳號操作,RAM使用者無許可權。