借助访问控制 RAM 的 RAM 用户,您可以实现权限分割的目的,按需为子账号赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。

背景信息

出于安全考虑,您可以为阿里云账号(主账号)创建 RAM 用户(子账号),并根据需要为这些子账号赋予不同的权限,这样就能在不暴露主账号密钥的情况下,实现让子账号各司其职的目的。在本文中,假设企业 A 希望让部分员工处理日常运维工作,则企业 A 可以创建 RAM 用户,并为 RAM 用户赋予相应权限,此后员工即可使用这些 RAM 用户登录控制台或调用 API 。

Web+提供的系统权限策略包括:

  • WebPlusFullAccess:Web+的完整权限。
  • WebPlusReadOnlyAccess:Web+的只读权限。

前提条件

步骤一:创建 RAM 用户

首先需要使用阿里云账号(主账号)登录 RAM 控制台并创建 RAM 用户。

  1. 登录 RAM 控制台,在左侧导航栏中选择人员管理 > 用户,并在用户页面上单击新建用户
  2. 新建用户页面的用户账号信息区域中,输入登录名称显示名称
    说明 登录名称中允许使用英文字母、数字、“.”、“_”和“-”,长度不超过 128 个字符。显示名称不可超过 24 个字符或汉字。
  3. (可选)如需一次创建多个用户,则单击添加用户,并重复上一步。
  4. 访问方式区域,选中控制台密码登录编程访问,并单击确定
    说明 为提高安全性,请仅选中一种访问方式。
    • 如果选中控制台密码登录,则完成进一步设置,包括自动生成默认密码或自定义登录密码、登录时是否要求重置密码,以及是否开启 MFA(多因素认证)。
    • 如果选中编程访问,则 RAM 会自动为 RAM 用户创建 AccessKey(API 访问密钥)。
      注意 出于安全考虑,RAM 控制台只在创建 AccessKey 时提供一次查看或下载 AccessKeySecret 的机会,因此请务必将 AccessKeySecret 记录到安全的地方。
  5. 手机验证对话框中单击获取验证码,并输入收到的手机验证码,然后单击确定
    创建的 RAM 用户显示在用户页面上。

步骤二:为 RAM 用户添加权限

在使用 RAM 用户之前,需要为其添加相应权限。

  1. RAM 控制台左侧导航栏中选择人员管理 > 用户
  2. 用户页面上找到需要授权的用户,单击操作列中的添加权限
  3. 添加权限面板的选择权限区域中,通过关键字搜索需要添加的权限策略,并单击权限策略将其添加至右侧的已选择列表中,然后单击确定
    说明 可添加的权限参见背景信息部分。
  4. 添加权限授权结果页面上,查看授权信息摘要,并单击完成

后续步骤

使用阿里云账号(主账号)创建好 RAM 用户后,即可将 RAM 用户的登录名称及密码或者 AccessKey 信息分发给其他用户。其他用户可以按照以下步骤使用 RAM 用户登录控制台或调用 API。

  • 登录控制台
    1. 在浏览器中打开 RAM 用户登录入口
    2. RAM 用户登录页面上,输入 RAM 用户登录名称,单击下一步,并输入 RAM 用户密码,然后单击登录
      说明 RAM 用户登录名称的格式为 <子用户名称>@<默认域名>,或<子用户名称>@<企业别名>,例如 username@company-alias.onaliyun.com 或 username@company-alias。
    3. 子用户用户中心页面上单击有权限的产品,即可访问控制台。
  • 使用 RAM 用户的 AccessKey 调用 API

    在代码中使用 RAM 用户的 AccessKeyId 和 AccessKeySecret 即可。

更多信息