本指南將協助你快速建立RAM使用者並安全地分配許可權,實現雲資源的精細化存取控制。
為什麼需要RAM使用者?
阿里雲主帳號類似於Linux系統中的root使用者,許可權極大,但不適合日常使用。當您的企業有多位員工需要協同操作雲資源時,建議您採用存取控制(RAM)在主帳號下建立多個RAM使用者,並為每個使用者指派最少的、滿足其工作所需的許可權。
對比項 | 主帳號 | RAM使用者 |
身份角色 | 資源的擁有者,擁有全部資產和最高許可權。 | 資源和服務的使用者,許可權由主帳號(或有管理員權限的RAM使用者)授予,通常與某個確定的人或應用程式對應。 |
是否擁有雲資源 | 是 | 否,資源歸屬主帳號 |
預設許可權 | 全部許可權,不可限制。 | 預設無任何許可權,需主帳號(或有管理員權限的RAM使用者)授權。 |
使用建議 | 僅用於授權、付費、帳號管理等關鍵管理操作。 | 日常開發、營運,部署等。 |
配置流程
建立RAM使用者:通過控制台快速開始來建立一個具有審計管理員許可權的RAM使用者。
RAM使用者登入:用新建立的RAM使用者登入控制台,並完成初始化配置。
驗證RAM使用者權限:快速驗證授權是否成功。
第一步:建立RAM使用者
快速建立使用者並授權
使用主帳號登入RAM控制台。
在概覽頁面,單擊,從系統提供的情境中選擇您的目標情境。
本文以審計管理員為例介紹操作流程。審計管理員具有配置審計、Action Trail和日誌管理的全部許可權,同時可以查詢所有阿里雲資源現狀。
查看或修改配置參數。
您可以查看預置的全部參數,但只能修改部分參數,請以控制台介面顯示為準。
單擊執行配置。
查看配置進度,等待配置完成後,儲存RAM使用者名稱和登入密碼。
通過快速配置方式建立的RAM使用者,後續可以在RAM控制台對應功能菜單下修改其配置資訊,參考修改RAM使用者基本資料
正常建立RAM使用者並管理授權,參考:建立RAM使用者,管理RAM使用者的許可權及為RAM使用者移除許可權。
設定帳號別名(推薦)
RAM使用者的預設登入名稱稱為<UserName>@<AccountAlias>.onaliyun.com,其中,<AccountAlias>.onaliyun.com是主帳號的預設網域名稱,<AccountAlias>表示帳號別名,帳號別名的預設值為阿里雲主帳號的帳號ID。建議在建立RAM使用者前,先為主帳號設定一個易記的帳號別名,替代16位元字的帳號ID,從而簡化RAM使用者的登入操作等。
預設網域名稱的修改步驟如下:
使用主帳號登入RAM控制台。
在左側導覽列,點擊,點擊預設網域名稱後的編輯,修改預設網域名稱。
只有具有Resource Access Management員許可權的RAM使用者或主帳號才能設定或修改帳號別名(預設網域名稱)。
別名一經設定,即刻生效,所有新產生的RAM使用者登入名稱將預設使用該別名。
第二步:RAM使用者登入
RAM使用者登入控制台的連結如下。如果想避免重複輸入帳號的預設網域名稱,可以採用專屬登入連結。
通用登入連結
使用新建立的RAM使用者登入阿里雲控制台。
說明RAM使用者登入頁面與阿里雲帳號(主帳號)登入頁面不同。更多資訊,請參見RAM使用者登入阿里雲控制台。
專屬登入連結
在RAM控制台的概覽頁可以擷取RAM使用者登入地址。RAM使用者使用該地址登入阿里雲控制台,可以避免重複輸入帳號的預設網域名稱。
在RAM使用者登入頁面,輸入RAM使用者名稱,單擊下一步。
輸入RAM使用者的登入密碼,單擊登入。
首次登入時需要綁定MFA,後續登入時頁面會要求輸入MFA驗證碼,參考為RAM使用者綁定MFA裝置。
重設RAM使用者密碼:通過快速開始建立的RAM使用者預設要求重設密碼。
第三步:驗證RAM使用者權限
由於建立的審計管理員具有配置審計、Action Trail和日誌管理的全部許可權,同時可以查詢所有阿里雲資源現狀。下面以Action Trail和RAM為例,驗證授權是否成功。
RAM使用者成功登入控制台後,將滑鼠移至上方右上方的頭像上,您將直接看到RAM使用者的資訊。
進入Action Trail控制台,可以嘗試任意操作。
例如,點擊左側導覽列,即可查看所有服務的事件記錄。
進入RAM控制台
點擊左側導覽列,即可查看已建立的RAM使用者。
重複執行建立RAM使用者中的步驟,會收到無許可權的報錯資訊。
常見許可權問題排查
當RAM使用者訪問資源時,如果遇到許可權不足的提示,可以參考如何排查無許可權的訪問錯誤進行排查。
相關文檔
您可以通過以下文檔,瞭解更多相關資訊: