您可以建立一個RAM使用者作為帳號管理員,替代阿里雲帳號(主帳號)執行雲上操作。帳號管理員擁有AdministratorAccess許可權,可管理所有阿里雲資源。
為什麼要建立帳號管理員
阿里雲帳號(主帳號)對帳號中的資源具有完全系統管理權限,且無法調整其許可權大小,多人共用時無法在審計日誌中區分出具體使用人,一旦泄露風險極大且難以追溯。強烈建議您不要使用阿里雲帳號(主帳號)進行日常營運管理。您可以建立一個RAM使用者並授予AdministratorAccess許可權後作為帳號管理員,該帳號管理員同樣可以對帳號下所有雲資源進行管控操作並能夠有效規避使用風險。您可以按人員分配帳號,也可在管理員帳號泄漏後立即凍結帳號。
如何建立帳號管理員
快速建立
步驟一:建立帳號管理員並授權
-
使用阿里雲帳號(主帳號)登入RAM控制台,在概览頁面,單擊快速開始>帳號管理員。
-
查看帳號管理員的配置參數,單擊執行配置。
該帳號管理員預設啟用控制台訪問方式,繫結系統策略AdministratorAccess,具備管理所有阿里雲資源的許可權。
預設登入名稱稱為 administrator,且已勾選 下次登入重設密碼。
-
等待配置進度完成後,儲存該帳號管理員的RAM使用者名稱和登入密碼。
帳號管理員建立成功後,後續您可以在RAM控制台對應功能菜單下修改其配置參數。
步驟二:使用RAM使用者登入阿里雲控制台
-
使用新建立的RAM使用者登入阿里雲控制台。
說明RAM使用者登入頁面與阿里雲帳號(主帳號)登入頁面不同。更多資訊,請參見RAM使用者登入阿里雲控制台。
-
在RAM使用者登入頁面,輸入RAM使用者名稱,單擊下一步。
-
輸入RAM使用者的登入密碼,單擊登入。
說明為保證RAM使用者的帳號安全,控制台登入或在控制台進行敏感操作時除使用使用者名稱和密碼驗證外,您還可以綁定MFA裝置,用於二次身分識別驗證。具體操作,請參見RAM使用者自行綁定MFA裝置。
預設登入名稱稱為 administrator,且已勾選 下次登入重設密碼。
手動建立
步驟一:建立RAM使用者
-
使用阿里雲帳號(主帳號)登入RAM控制台,在左側導覽列,選擇身份管理>用户, 單擊创建用户。
-
建立一個名為administrator的RAM使用者。在使用者帳號資訊地區,設定登入名稱稱和顯示名稱為
administrator。在訪問方式地區,勾選控制台訪問。設定密碼選擇自動產生密碼,勾選使用者在下次登入時必須重設密碼,MFA 多因素認證選擇需要開啟 MFA 認證,然後單擊確定。 -
根據介面提示,完成安全驗證。
步驟二:為RAM使用者授權
-
在用户頁面,找到目標RAM使用者,在操作列單擊添加权限。
-
在新增授权面板,為RAM使用者添加系統权限策略AdministratorAccess,該權限原則具備管理所有阿里雲資源的許可權。
將資源範圍設定為帳號層級,然後單擊確認新增授權。
步驟三:RAM使用者登入阿里雲控制台
-
使用新建立的RAM使用者登入阿里雲控制台。
說明RAM使用者登入頁面與阿里雲帳號(主帳號)登入頁面不同。更多資訊,請參見RAM使用者登入阿里雲控制台。
-
在RAM使用者登入頁面,輸入RAM使用者名稱,單擊下一步。
-
輸入RAM使用者的登入密碼,單擊登入。
說明為保證RAM使用者的帳號安全,控制台登入或在控制台進行敏感操作時除使用使用者名稱和密碼驗證外,您還可以綁定MFA裝置,用於二次身分識別驗證。具體操作,請參見RAM使用者自行綁定MFA裝置。