您可以使用阿里云账号购买和创建实时计算项目。同时,阿里云账号也可以授权RAM用户使用阿里云账号创建的实时计算项目。本文为您介绍如何为RAM用户授权。

什么是RAM用户

RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。RAM用户具备以下特点:

  • RAM用户由阿里云账号(主账号)或具有管理员权限的其他RAM用户、RAM角色创建,创建成功后,归属于该阿里云账号,它不是独立的阿里云账号。
  • RAM用户不拥有资源,不能独立计量计费,由所属的阿里云账号统一付费。
  • RAM用户必须在获得授权后,才能登录控制台或使用API访问阿里云账号下的资源。
  • RAM用户拥有独立的登录密码或访问密钥。
  • 一个阿里云账号下可以创建多个RAM用户,对应企业内的员工、系统或应用程序。

您可以创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。当您的企业存在多用户协同访问资源的场景时,使用RAM可以按需为用户分配最小权限,避免多用户共享阿里云账号密码或访问密钥,从而降低企业的安全风险。

授权操作

  1. 创建RAM用户
    创建RAM用户具体步骤请参见创建RAM用户
    说明
    • 第一次使用RAM需要进行初始化工作,具体步骤请参见设置RAM用户密码强度设置RAM用户安全策略
    • 为了保证账号安全,实时计算设置了账号验证的功能。如果长时间没有对作业进行操作,系统将会发送短信和邮件进行身份信息验证。
  2. 创建自定义权限策略
    在RAM用户中添加自定义权限策略的具体步骤请参见创建自定义策略。实时计算授权策略代码如下。
    {    
       "Version": "1",
       "Statement": [
        { 
         "Action": "stream:*", 
          "Resource": "acs:stream:*:*:*", 
          "Effect": "Allow"
        }, 
        { 
          "Action": "ram:PassRole",
          "Resource": "acs:ram:*:*:*",
          "Effect": "Allow" 
       } 
      ] 
    }
    说明 实时计算授权策略支持授权至项目粒度,即可以为不同的RAM用户分别授权不同的项目。如果需要为RAM用户授权单个项目,请将以上代码中的Resource修改为"Resource":"acs:stream:*:*:projectname",其中projectname为需要授权的项目名称。
  3. 授权用户或用户组

    将上述权限策略授权添加至指定用户或者用户组,具体步骤请参见为RAM用户授权为用户组授权

  4. 使用RAM用户登录实时计算控制台

    RAM控制台概览页面中,账号管理区域查看RAM用户登录地址。