：為RAM使用者授權

應用情境

假設企業A希望讓部分員工處理日常營運工作，則企業A可以建立RAM使用者，並為RAM使用者賦予相應許可權，此後員工可以用RAM使用者的身份登入SAE控制台。SAE支援藉助RAM使用者實現分權分賬，為該帳號開啟控制台登入許可權。應用情境如下：

• 出於安全考慮，企業A不希望將阿里雲帳號的密鑰直接透露給員工，而希望能給員工建立相應的RAM使用者帳號。

• RAM使用者帳號只能在被授權的前提下操作資源，不需要對其單獨計量計費，所有開銷都計入企業A的阿里雲帳號名下。

• 企業A隨時可以撤銷RAM使用者帳號的許可權，也可以隨時刪除其建立的RAM使用者帳號。

步驟一：建立RAM使用者

1. 使用阿里雲帳號（主帳號）或Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 使用者。

3. 在使用者頁面，單擊建立使用者。

   

4. 在建立使用者頁面的使用者帳號資訊地區，設定使用者基本資料。

   • 登入名稱稱：可包含英文字母、數字、半形句號（.）、短劃線（-）和底線（_），最多64個字元。

   • 顯示名稱：最多包含128個字元或漢字。

   • 標籤：單擊，然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤，便於後續基於標籤的使用者管理。

   說明

   單擊添加使用者，可以大量建立多個RAM使用者。

5. 在訪問方式地區，選擇訪問方式，然後設定對應參數。

   為了帳號安全，建議您只選擇以下訪問方式中的一種，將人員使用者和應用程式使用者分離，避免混用。

   • 控制台訪問

     如果RAM使用者代表人員，建議啟用控制台訪問，使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數：

     • 控制台登入密碼：選擇自動產生密碼或者自訂密碼。自訂登入密碼時，密碼必須滿足密碼複雜度規則。更多資訊，請參見設定RAM使用者密碼強度。

     • 密碼重設策略：選擇RAM使用者在下次登入時是否需要重設密碼。

     • 多因素認證（MFA）策略：選擇是否為當前RAM使用者啟用MFA。啟用MFA後，還需要綁定MFA裝置。更多資訊，請參見為RAM使用者綁定MFA裝置。

   • 使用永久AccessKey訪問

     如果RAM使用者代表應用程式，您可以使用永久存取金鑰（AccessKey）訪問阿里雲。啟用後，系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊，請參見建立AccessKey。

     重要

     • RAM使用者的AccessKey Secret只在建立時顯示，不支援查看，請妥善保管。

     • 存取金鑰（AccessKey）是一種長期有效程式訪問憑證。AccessKey泄露會威脅該帳號下所有資源的安全。建議優先採用STS Token臨時憑證方案，降低憑證泄露的風險。更多資訊，請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務。

6. 單擊確定。

步驟二：為RAM使用者添加許可權

為RAM使用者授權後，RAM使用者可以訪問相應的阿里雲資源。本文以在使用者頁面為RAM使用者授權的方式為例，操作步驟如下所示。更多方式，請參見為RAM使用者授權。

1. 使用Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 使用者。

3. 在使用者頁面，單擊目標RAM使用者操作列的添加許可權。

   

   您也可以選中多個RAM使用者，單擊使用者列表下方的添加許可權，為RAM使用者大量授權。

4. 在新增授權面板，為RAM使用者添加許可權。

   1. 選擇資源範圍。

      • 帳號層級：許可權在當前阿里雲帳號內生效。

      • 資源群組層級：許可權在指定的資源群組內生效。

        重要

        指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。

   2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

   3. 選擇權限原則。

      權限原則是一組存取權限的集合，分為以下兩種。支援批量選中多條權限原則。

      • 系統策略：由阿里雲建立，策略的版本更新由阿里雲維護，使用者只能使用不能修改。更多資訊，請參見支援RAM的雲端服務。

        說明

        系統會自動標識出高風險系統策略（例如：AdministratorAccess、AliyunRAMFullAccess等），授權時，盡量避免授予不必要的高風險權限原則。

      • 自訂策略：由使用者管理，策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊，請參見建立自訂權限原則。

   4. 單擊確認新增授權。

5. 單擊關閉。

後續步驟

企業A的員工可以通過以下方式，以RAM使用者的身份訪問SAE。

• 方式一：控制台。

  1. RAM使用者登入入口。

  2. 在RAM使用者名稱密碼登入頁面，輸入RAM使用者的使用者名稱，單擊下一步，並輸入使用者密碼，然後單擊登入。

     說明

     RAM使用者的登入帳號格式為<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com，<$AccountAlias>為帳號別名。如果沒有設定帳號別名，則預設值為阿里雲帳號的ID。更多資訊，請參見RAM使用者登入阿里雲控制台。

  3. 在阿里雲控制台頂部的搜尋文字框，輸入並單擊Serverless 應用引擎（SAE），即可訪問SAE控制台。

• 方式二：調用API。

  在代碼中使用RAM使用者的AccessKey ID和AccessKey Secret調用API訪問SAE。