當您不再需要某個RAM使用者時,為了安全和便於管理,應及時禁用或刪除該使用者。本文介紹RAM使用者的完整生命週期管理,包括刪除前的安全檢查、如何將使用者移入資源回收筒、從資源回收筒恢複使用者,以及從資源回收筒徹底刪除使用者。
刪除RAM使用者前的安全評估
在刪除RAM使用者前,必須確認該使用者不再被任何系統或應用程式使用,以避免引發業務故障。推薦採用“先禁用、後刪除”的穩妥方案。
刪除前最終檢查清單
在執行刪除操作前,請務必完成以下檢查:
檢查AccessKey活動:
在RAM控制台的使用者詳情頁的AccessKey頁簽,查看AccessKey的最後使用雲端服務 / 時間。
如果需要詳細資料,可以登入Action Trail控制台,在AccessKey 審計頁簽,用目標
AccessKey ID進行查詢,確認該使用者的存取金鑰(AccessKey)近期無任何API調用。
檢查控制台登入活動:
在RAM控制台的使用者詳情頁的认证管理頁簽,確認最近登入時間。
如果需要詳細資料,操作事件頁簽,或者登入Action Trail控制台,在事件查詢頁簽,用目標RAM使用者的使用者名稱作為
操作者名稱進行篩選,確認該使用者近期不控制台操作記錄。
檢查服務依賴:
雲產品中是否有使用RAM使用者申請其他憑證,如ACK的kubeconfig。
是否有使用RAM使用者身份執行任務,如巨量資料產品DataWorks、MaxCompute。
可以在RAM控制台的使用者詳情頁的許可權審計 Beta頁簽,確認使用者被授權的服務及最近訪問時間,詳見許可權審計概覽。
備份使用者資訊(可選):由於恢複使用者無法恢複其許可權配置,建議在刪除前,通過API或指令碼匯出其權限原則、所屬使用者組等資訊作為備份。
最佳實務:先禁用後刪除
對於不確定是否仍在使用的使用者,建議先禁用其訪問憑證,觀察一段時間。如果業務無任何異常,再執行刪除操作。這是處理員工離職或應用下線情境時最安全的流程。
臨時禁用使用者:
禁用控制台登入:在使用者詳情頁的认证管理頁簽,修改控制台登录管理部分的配置,將控制台访问設定為禁用。
禁用AccessKey:在使用者詳情頁的认证管理頁簽,將所有AccessKey的狀態設定為禁用。 此時,該使用者將無法登入或調用API,但其身份和許可權配置仍然保留,便於隨時恢複啟用。
觀察業務狀態:保持停用狀態觀察一段時間,建議最少7-15天,確認無任何業務因此中斷。
執行刪除操作:觀察期結束後,若確認使用者可被安全刪除,則繼續執行後續的刪除操作。
RAM使用者的資源回收筒機制
在執行刪除操作時,RAM使用者的狀態流轉如下:
為防止因誤操作刪除RAM使用者而導致業務中斷,RAM提供了資源回收筒作為安全緩衝機制。RAM使用者資源回收筒的特點如下:
刪除即回收:在控制台對RAM使用者執行的刪除操作,並非立即永久刪除,而是將其移入資源回收筒。
禁用狀態:使用者一旦進入資源回收筒,其所有功能(包括控制台登入、API調用等)均被禁用,關聯的許可權和綁定關係(如MFA裝置)也會被移除。
保留與清理:使用者在資源回收筒中預設保留30天。超過30天,系統會自動將其永久刪除。在此期間,您可以隨時將其恢複或手動永久刪除。
恢複限制:從資源回收筒恢複使用者時,僅恢複使用者身份本身。其原有的許可權和MFA裝置等需要您手動重新設定,AccessKey需要單獨手動恢複或重新建立。
配額限制:資源回收筒最多可容納1000個使用者。當數量超出限制後,系統會按移入時間從早到晚自動清理最早的使用者,為新移入的使用者騰出空間。
操作步驟
一、將RAM使用者移入資源回收筒
此操作會將使用者禁用並清除,啟動30天的自動清理倒計時。移入資源回收筒後,該使用者的控制台登入、API調用(AccessKey)、所有許可權、MFA裝置都將被禁用或移除。
控制台
使用阿里雲帳號(主帳號)或擁有Resource Access Management員許可權(
AliyunRAMFullAccess)的RAM使用者登入RAM控制台。在左側導覽列,選擇。
在用户頁面,單擊目標RAM使用者操作列的刪除。
您也可以選中多個RAM使用者,然後單擊使用者列表下方的刪除使用者,批量將多個RAM使用者移入資源回收筒(不推薦,容易誤刪除)。
在刪除使用者對話方塊,仔細閱讀刪除影響,然後輸入目標RAM使用者名稱稱,最後單擊移入資源回收筒。
OpenAPI
調用DeleteUser可以將RAM使用者移入資源回收筒
二、管理資源回收筒中的使用者
您可以在資源回收筒中查看、恢複或徹底刪除使用者。
查看資源回收筒中的RAM使用者和AccessKey
在用户頁面,單擊右上方的資源回收筒。
在資源回收筒頁面,您可以:
在用户頁簽,查看資源回收筒中的RAM使用者列表。
在AccessKey頁簽,查看資源回收筒中的AccessKey列表。
從資源回收筒恢複RAM使用者
此操作用於恢複被誤刪除的使用者。
從資源回收筒恢複RAM使用者時,恢複的僅是RAM使用者的基本資料,包括登入名稱稱、顯示名稱、UID和建立時間;該RAM使用者的控制台登入密碼(有效期間內)。其餘資訊無法恢複,需要您在恢複後手動重新設定。
在用户頁面,單擊右上方的資源回收筒。
在用户頁簽,單擊目標RAM使用者操作列的恢複。
您也可以選中多個RAM使用者,然後單擊使用者列表下方的恢複資源回收筒使用者,大量復原RAM使用者。
在恢複資源回收筒使用者對話方塊,單擊確定。
恢複後操作核對錶:
為使用者重新授予必要的許可權。
將使用者重新加入所需的使用者組。
如果需要API訪問,為使用者重新建立AccessKey,或在資源回收筒的AccessKey頁簽下恢複其舊的AccessKey。
提醒使用者重新綁定MFA裝置。
按需重新添加RAM使用者的備忘、手機號碼、郵箱和標籤等。
從資源回收筒徹底刪除RAM使用者
此操作將永久刪除使用者及其所有資訊,操作無法復原。
一旦徹底刪除RAM使用者,該使用者的所有資訊(包括其AccessKey)將無法恢複。請僅在完全確定不再需要該使用者時執行此操作。
資源回收筒中的RAM使用者儲存期限為30天,超到期限系統會自動清理這些RAM使用者,也就是徹底刪除RAM使用者。您也可以在資源回收筒中手動刪除指定的RAM使用者:
在用户頁面,單擊右上方的資源回收筒。
在用户頁簽,單擊目標RAM使用者操作列的刪除。
在刪除資源回收筒使用者對話方塊,輸入目標RAM使用者名稱稱,然後單擊刪除。