為了保護您的阿里雲帳號(主帳號)安全,在完成阿里雲帳號的基本設定後,建議您建立一個RAM使用者,並授予該RAM使用者管理阿里雲帳號下所有資源的許可權。
阿里雲帳號相當於Linux作業系統的root使用者,具有一個帳號內的全部資源系統管理權限。如果日常工作中一直使用阿里雲帳號,不但有誤操作的風險,而且還有帳號被盜而導致的資料泄露、資料被刪除等風險。因此,在日常工作中,建議您使用具有管理員權限的RAM使用者代替阿里雲帳號。
什麼是RAM使用者
RAM使用者是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程式一一對應。RAM使用者具備以下特點:
RAM使用者由阿里雲帳號(主帳號)或具有管理員權限的其他RAM使用者、RAM角色建立,建立成功後,歸屬於該阿里雲帳號,它不是獨立的阿里雲帳號。
RAM使用者不擁有資源,不能獨立計量計費,由所屬的阿里雲帳號統一付費。
RAM使用者必須在獲得授權後,才能登入控制台或使用API訪問阿里雲帳號下的資源。
RAM使用者擁有獨立的登入密碼或存取金鑰。
一個阿里雲帳號下可以建立多個RAM使用者,對應企業內的員工、系統或應用程式。
您可以建立RAM使用者並為其授權,實現不同RAM使用者擁有不同資源存取權限的目的。當您的企業存在多使用者協同訪問資源的情境時,使用RAM可以按需為使用者指派最小許可權,避免多使用者共用阿里雲帳號密碼或存取金鑰,從而降低企業的安全風險。
使用流程
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
建立RAM使用者。
具體操作,請參見建立RAM使用者。
設定登入參數。
雖然您可以為RAM使用者同時設定控制台登入密碼和API調用的AccessKey,但出於安全的考慮,建議您針對不同用途的RAM使用者僅設定一種登入方式。例如:如果RAM使用者代表的是應用程式,則需要通過API訪問資源,您只需給它建立AccessKey。如果RAM使用者代表的是員工,則需要通過控制台訪問資源,您只需給它設定登入密碼。具體設定方法如下:
控制台登入
您需要啟用RAM使用者控制台登入、設定RAM使用者密碼強度、設定或修改登入密碼、按需啟用多因素認證(MFA)。具體操作,請參見管理RAM使用者登入設定、設定RAM使用者密碼強度、修改RAM使用者登入密碼和為RAM使用者綁定MFA裝置。
說明如果您啟用了使用者SSO,則可以不開啟控制台登入,使用者也能通過SSO方式登入到阿里雲控制台。更多資訊,請參見使用者SSO概覽。
API調用
您需要為RAM使用者建立AccessKey。具體操作,請參見建立AccessKey。
為RAM使用者授權。
為不同的RAM使用者授予不同的資源存取權限。具體操作,請參見為RAM使用者授權。
使用RAM使用者登入控制台或使用AccessKey調用API。
更多資訊,請參見RAM使用者登入阿里雲控制台和整合概覽。
更多資訊,請參見RAM使用者概覽。