創建并授權RAM用戶
為了保護您的阿里云賬號(主賬號)安全,在完成阿里云賬號的基本設置后,建議您創建一個RAM用戶,并授予該RAM用戶管理阿里云賬號下所有資源的權限。
阿里云賬號相當于Linux操作系統的root用戶,具有一個賬號內的全部資源管理權限。如果日常工作中一直使用阿里云賬號,不但有誤操作的風險,而且還有賬號被盜而導致的數據泄露、數據被刪除等風險。因此,在日常工作中,建議您使用具有管理員權限的RAM用戶代替阿里云賬號。
什么是RAM用戶
RAM用戶是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程序一一對應。RAM用戶具備以下特點:
RAM用戶由阿里云賬號(主賬號)或具有管理員權限的其他RAM用戶、RAM角色創建,創建成功后,歸屬于該阿里云賬號,它不是獨立的阿里云賬號。
RAM用戶不擁有資源,不能獨立計量計費,由所屬的阿里云賬號統一付費。
RAM用戶必須在獲得授權后,才能登錄控制臺或使用API訪問阿里云賬號下的資源。
RAM用戶擁有獨立的登錄密碼或訪問密鑰。
一個阿里云賬號下可以創建多個RAM用戶,對應企業內的員工、系統或應用程序。
您可以創建RAM用戶并為其授權,實現不同RAM用戶擁有不同資源訪問權限的目的。當您的企業存在多用戶協同訪問資源的場景時,使用RAM可以按需為用戶分配最小權限,避免多用戶共享阿里云賬號密碼或訪問密鑰,從而降低企業的安全風險。
使用流程
- 使用阿里云賬號(主賬號)或具有管理員權限的RAM用戶、RAM角色登錄RAM控制臺。
- 創建RAM用戶。
具體操作,請參見創建RAM用戶。
- 設置登錄參數。
雖然您可以為RAM用戶同時設置控制臺登錄密碼和API調用的訪問密鑰AK(AccessKey),但出于安全的考慮,建議您針對不同用途的RAM用戶僅設置一種登錄方式。例如:如果RAM用戶代表的是應用程序,則需要通過API訪問資源,您只需給它創建訪問密鑰。如果RAM用戶代表的是員工,則需要通過控制臺訪問資源,您只需給它設置登錄密碼。具體設置方法如下:
- 控制臺登錄
您需要啟用RAM用戶控制臺登錄、設置RAM用戶密碼強度、設置或修改登錄密碼、按需啟用多因素認證(MFA)。具體操作,請參見管理RAM用戶登錄設置、設置RAM用戶密碼強度、修改RAM用戶登錄密碼和為RAM用戶綁定多因素認證設備。
說明 如果您啟用了用戶SSO,則可以不開啟控制臺登錄,用戶也能通過SSO方式登錄到阿里云控制臺。更多信息,請參見用戶SSO概覽。 - API調用
您需要為RAM用戶創建訪問密鑰。具體操作,請參見創建AccessKey。
- 控制臺登錄
- 為RAM用戶授權。
為不同的RAM用戶授予不同的資源訪問權限。具體操作,請參見為RAM用戶授權。
- 使用RAM用戶登錄控制臺或使用訪問密鑰調用API。
更多信息,請參見RAM用戶登錄阿里云控制臺和API概覽。
更多信息,請參見RAM用戶概覽。