新建立的RAM使用者預設無任何許可權。您必須為其授予許可權,該使用者才能在您的授權範圍內訪問和管理阿里雲資源。本文介紹如何為RAM使用者授權、查看與撤銷許可權,並提供常見情境的最佳實務與故障排查方法,協助您安全、高效地進行許可權委派。
核心概念
在授權前,您需要瞭解以下核心概念:
權限原則類型
權限原則是一組存取權限的集合,分為以下兩種。RAM使用者支援批量授予多條權限原則,授權請遵循“最小許可權原則”。
系統策略:阿里雲預設的常用許可權集,例如
AliyunECSReadOnlyAccess(唯讀訪問ECS)、AliyunOSSFullAccess(管理OSS許可權),全部系統策略詳見 系統策略參考自訂策略:如果系統策略無法滿足您的精細化需求,可以 建立自訂權限原則 後再來授權。如需RAM使用者採購雲產品,請參考許可權集合:RAM使用者採購雲產品需要什麼許可權?
授權生效與限制
生效時間:為RAM使用者授權後,許可權通常會立即生效,無需等待或重新登入。
數量限制:每個RAM使用者允許附加的系統策略和自訂策略存在最大數量限制,請參見使用限制。
資源群組限制:若使用基於資源群組的授權,需要先確認對應雲端服務、操作及資源類型是否支援資源群組層級的授權。具體請參見支援資源群組層級授權的雲端服務。
為RAM使用者新增授權
控制台
RAM控制台提供兩種為RAM使用者授權的操作入口。兩者均支援單個或大量授權,請按操作習慣選擇:
從用户頁面發起:在使用者列表中勾選目標使用者後,授權面板會自動選定授權主體。適合“以使用者為中心”的視角。
從授權頁面發起:需手動選擇授權主體,但可看到帳號下所有授權記錄的總覽。適合“以許可權為中心”的視角。
大規模批量管理建議:當需要為多名職責相同的 RAM 使用者授予相同許可權時,建議先將這些使用者加入同一使用者組,再為使用者組授權(控制台路徑:身份管理 > 使用者組),比為每個使用者單獨授權更易維護。
從使用者頁面發起
登入RAM控制台
在左側導覽列選擇。
在用户頁面,找到已經建立好的RAM使用者,單擊操作列的新增授權。
您也可以選中多個RAM使用者,單擊使用者列表下方的新增授權,為多個RAM使用者新增授權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍:
帳號層級:許可權在當前阿里雲帳號內全部資源生效。適用於通用、無需按資源群組隔離的情境。
資源群組層級:許可權僅在指定資源群組內生效。適用於多團隊共用一個帳號、需按資源群組隔離許可權的情境。如果RAM使用者被授予了資源群組層級的許可權,該使用者登入控制台後,必須在頂部導覽列將資源範圍切換到被授權的資源群組,才能正常訪問和管理該資源群組內的資源。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),這些策略通常包含對所有雲資源的完全控制許可權或對存取控制(RAM)的完全系統管理權限等,請謹慎授予。
資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體:
授權主體即需要添加許可權的RAM使用者。如果是從使用者頁面發起,系統會自動選擇當前的RAM使用者。如果是從授權頁面發起,需要手動選擇RAM使用者,支援批量選中多個。
選擇權限原則:
系統策略:可以直接搜尋並選擇。搜尋技巧:您可以利用搜尋方塊快速定位策略。支援按產品名稱(如
ECS、OSS)、權限等級(如ReadOnly、FullAccess)或完整的策略名稱稱進行模糊搜尋。自訂策略:需要先建立自訂權限原則後再來授權。
(可選)填寫備忘:建議填寫授權原因或情境描述,便於後續審計回溯,例如"OSS 上傳任務專項授權"。
提交授權:單擊確認新增授權。
確認授權綁定操作結果,單擊關閉。
從授權頁面發起
登入RAM控制台
在左側導覽列,選擇。
在授權頁面,單擊新增授權。
在新增授權面板,為RAM使用者添加許可權。具體內容同上。
確認授權綁定操作結果,單擊關閉。
OpenAPI
授予自訂策略
調用CreatePolicy建立一個自訂策略,可以參考權限原則基本元素和權限原則樣本庫概覽。
調用AttachPolicyToUser為RAM使用者授予帳號層級的許可權,注意此處
PolicyType選擇Custom。或者調用AttachPolicy為RAM使用者授予資源群組層級的許可權。
授予系統策略
直接調用AttachPolicyToUser將權限原則綁定至指定RAM使用者,注意此處
PolicyType選擇System,PolicyName詳見 系統策略參考。或者調用AttachPolicy為RAM使用者授予資源群組層級的許可權。
查看RAM使用者的許可權
控制台
登入RAM控制台。
在左側導覽列,選擇。
在用户頁面,單擊目標RAM使用者名稱稱。
單擊权限管理頁簽,可以查看个人权限以及继承用户组的权限。
如需瞭解許可權的實際使用方式(最近訪問時間、是否閑置、是否過度授權),可在使用者詳情的許可權審計 Beta頁簽或 RAM 概覽頁的訪問分析中查看,便於持續最佳化授權配置。
OpenAPI
調用ListPoliciesForUser可以查詢指定使用者的授權範圍為雲帳號的授權列表,不能查詢授權範圍為資源群組的授權列表。
移除RAM使用者的許可權
操作前建議:為避免誤刪仍在使用的許可權,撤銷前可在使用者詳情的許可權審計 Beta中查看待撤銷策略的最近使用時間,或在 RAM 概覽頁訪問分析中確認該使用者是否存在閑置策略,再決定撤銷範圍。
控制台
RAM控制台提供兩種為RAM使用者解除授權的操作入口。兩者均支援單條或批量解除授權,請按操作習慣選擇:
從用户頁面發起:在使用者詳情中按使用者篩選要解除的許可權,適合"以使用者為中心"的清理情境。
從授權頁面發起:從全量授權記錄中按許可權篩選要解除的關係,適合"以許可權為中心"的清理情境。
從使用者頁面發起
登入RAM控制台。
在左側導覽列,選擇。
在用户頁面,單擊目標RAM使用者名稱稱。
單擊权限管理頁簽,在个人权限中篩選目標權限原則,單擊操作列的解除授權。
在解除授權對話方塊,再次確認授權主體和權限原則等資訊,單擊解除授權。
從授權頁面發起
登入RAM控制台。
在左側導覽列,選擇。
在授權頁面,單擊目標RAM使用者及權限原則對應操作列的解除授權。
您也可以選中多條授權記錄,單擊授權列表下方的解除授權,大量移除授權。
在解除授權對話方塊,單擊解除授權。
OpenAPI
調用DetachPolicyFromUser為使用者撤銷指定的許可權。
許可權安全建議
遵循最小許可權原則,始終按需為RAM使用者授予完成其工作所必需的最小許可權,避免授予不必要的許可權。
情境樣本1:管理指定的ECS執行個體
錯誤示範:授予
AdministratorAccess或AliyunECSFullAccess。正確示範:建立自訂策略,將
Resource限定為具體的執行個體ID,樣本策略參考管理指定的ECS執行個體。
情境樣本2:授予除費用外的所有許可權
錯誤示範:授予
AdministratorAccess。正確示範:建立自訂策略,設定一條
"Action": "bss:*","bssapi:*","efc:*""Effect": "Deny"的聲明,利用顯式拒絕來排除費用相關的系統管理權限,樣本策略參考管理阿里雲帳號下除費用資訊外的所有資源。
定期審計許可權。建議定期使用以下能力檢視許可權健康度:在 RAM 概覽頁 治理檢測 中識別 90 天內未使用的 AccessKey 和閑置 RAM 使用者;在 訪問分析(Beta) 中通過過度授權分析器識別超出實際使用範圍的過度授權身份,作為持續最小化授權的依據。
謹慎使用高風險許可權。重申應僅在極少數必要情境下(如為Resource Access Management員授權)才使用
AliyunRAMFullAccess等高風險策略,並對擁有此類許可權的使用者操作行為進行嚴格的審計和監控。臨時授權優先用 RAM 角色。如果只是短期、有限情境的授權需求(如跨帳號訪問、臨時 CI/CD 任務),優先建立 RAM 角色並通過 STS 頒發臨時憑證,而不是為 RAM 使用者掛載長期生效的策略。臨時憑證到期自動失效,無需手動撤銷。
常見問題
RAM使用者如何查看自己擁有的許可權?
出於安全考慮,RAM使用者預設無法直接查看自己被授予的完整權限原則列表。您可以通過以下方式瞭解您的許可權範圍:
功能試用:嘗試訪問您工作所需的產品控制台和功能。如果提示“無許可權”,則說明您缺少相應許可權。
聯絡管理員:聯絡您所在組織的管理員(主帳號或者擁有Resource Access Management員許可權(
AliyunRAMFullAccess)的RAM使用者),請其在RAM控制台的使用者詳情頁面為您查詢具體的許可權配置。
RAM使用者可以購買雲產品嗎?
可以。您需要為其授予購買產品所需的特定許可權,參考RAM使用者採購雲產品需要什麼許可權?
但目前不支援為單個RAM使用者佈建獨立的消費額度或賬單。所有RAM使用者的消費都將計入主帳號,並由主帳號統一支付。
如何為RAM使用者授予臨時、可回收的許可權?
不建議為RAM使用者附加長期生效的臨時性策略。推薦做法:建立一個具備要求的權限的RAM角色,再讓RAM使用者通過 AssumeRole 或 STS 擷取有時間限制的臨時憑證。具體請參考扮演RAM角色。
臨時憑證到期自動失效,無需手動撤銷,適合 CI/CD、跨帳號代理、第三方營運等情境。
RAM使用者訪問資源時遇到“許可權不足”,如何排查?
進入RAM控制台下的許可權管理 > 許可權診斷,將許可權錯誤響應中的診斷密文(AccessDeniedDetail.EncodedDiagnosticMessage欄位)或 Request ID 粘貼到診斷框,單擊開始診斷,系統會反向解析出本次拒絕的具體原因(命中的策略、條件或顯式拒絕),協助快速定位問題。
更多排查思路,請參見如何排查無許可權的訪問錯誤。