ACM支持阿里云访问控制RAM的账户体系。借助RAM用户,云账户(主账户)可以避免与其他用户共享账户密钥,并按需为RAM用户分配最小权限,实现各司其职的高效管理。

背景信息

出于安全考虑,您可以为阿里云账号(主账号)创建 RAM 用户(子账号),并根据需要为这些子账号赋予不同的权限,这样就能在不暴露主账号密钥的情况下,实现让子账号各司其职的目的。在本文中,假设企业 A 希望让部分员工处理日常运维工作,则企业 A 可以创建 RAM 用户,并为 RAM 用户赋予相应权限,此后员工即可使用这些 RAM 用户登录控制台或调用 API 。

创建RAM用户

  1. 登录RAM控制台,在左侧导航栏中选择人员管理 > 用户
  2. 用户页面上单击新建用户,在用户账号信息区域输入用户的登录名称显示名称
    注意 登录名称必须在云账户内保持唯一。

    如需创建多个用户,则单击添加用户,并输入登录名称显示名称

    图 1. 新建用户页面
    RAM新建用户页面
  3. 访问方式区域选择控制台密码登录,然后按需设置控制台密码要求重置密码多因素认证,并单击确定

完成以上步骤后,一个可以登录控制台的RAM用户就创建成功了。

为RAM用户授权

RAM授权的粒度是ACM服务级别,即RAM授权表示允许用户拥有ACM的所有权限。RAM授权或者解除授权只能在RAM控制台上操作。

  1. 登录RAM控制台,在左侧导航栏中选择人员管理 > 用户
  2. 用户页面上单击目标用户操作列中的授权
    RAM添加权限对话框
  3. 添加权限对话框左侧的系统权限策略中找到AliyunACMFullAccess策略,并单击该策略,然后单击确定
    说明 如果还使用到ACM的加解密配置功能,则还需要为用户添加AliyunKMSCryptoAccess授权策略。

为RAM用户解除授权

  1. 登录RAM控制台,在左侧导航栏中选择人员管理 > 用户
  2. 用户管理页面上单击目标用户的用户登录名称/显示名称,然后单击权限管理页签。
  3. 个人权限子页签的表格中,单击操作列中的移除权限
  4. 移除权限对话框中单击确认

授权解除后,RAM用户无权登录ACM。

删除RAM用户

  1. 登录RAM控制台,在左侧导航栏中选择人员管理 > 用户
  2. 用户页面上单击目标用户操作列中的删除
  3. 删除用户对话框中单击确认

使用RAM用户登录ACM控制台

  1. 使用云账户登录RAM控制台,在左侧导航栏中选择概览
  2. 账号管理区域单击用户登录地址链接。
    RAM账号管理信息区域
  3. 阿里云-RAM用户登录页面上按照提示输入登录用户名称,单击下一步,然后输入密码并单击登录
    RAM子用户登录对话框
  4. 子用户用户中心页面上,单击互联网中间件类目下的应用配置管理进入ACM控制台。