RAM用戶

RAM用戶需要由阿里云賬號（即主賬號）或擁有管理員權限的RAM用戶、RAM角色來創建，且必須在獲得授權后才能登錄控制臺或使用API訪問阿里云賬號下的資源。

對于RAM用戶的使用，建議您：

• 使用阿里云賬號創建一個RAM用戶，并為RAM用戶授予管理員權限，后續使用有管理員權限的RAM用戶創建并管理其他RAM用戶。

• 將人員用戶和程序用戶分離。

  創建RAM用戶時，支持設置控制臺訪問和OpenAPI調用訪問兩種訪問方式?？刂婆_用戶使用賬號密碼訪問云產品控制臺，API用戶使用訪問密鑰AK（AccessKey）調用API訪問云資源。建議您將兩個不同的使用場景分離，避免誤操作導致服務受到影響。對于通過控制臺訪問的用戶，推薦為其開啟MFA多因素認證。

• 按需為RAM用戶分配最小權限。

  最小權限是指授予用戶執行某項任務所需的權限，不授予其他無需用到的權限。最小授權可以避免用戶操作權限過大，提高數據安全性，減少因權限濫用導致的安全風險。

• 不要把RAM用戶的AccessKey ID和AccessKey Secret保存在工程代碼中，否則可能導致AK泄露，威脅您賬號下所有資源的安全。建議您使用STS或環境變量等方式獲取訪問授權。

• 滿足條件時對RAM用戶設置SSO單點登錄功能，實現直接使用企業自有的身份登錄并訪問阿里云資源。

RAM用戶相關操作

• RAM用戶管理

• AK安全方案

• RAM用戶SSO管理

RAM用戶組

當您的阿里云賬號下有多個RAM用戶時，可以通過創建用戶組對職責相同的RAM用戶進行分組管理和批量授權，實現高效地管理RAM用戶及其權限。對于RAM用戶組的使用，建議您：

• 在對RAM用戶組授權時遵循最小權限策略原則。

• 在RAM用戶職責發生變化時將其從不再歸屬的用戶組中移除，避免權限濫用。

• 在某個用戶組不再需要某些權限時移除用戶組對應的權限。

RAM用戶組相關操作

• RAM用戶組管理

RAM角色

RAM角色是一種虛擬用戶，可以被授予一組權限策略。與RAM用戶不同，RAM角色沒有永久身份憑證（登錄密碼或訪問密鑰），需要被一個可信實體扮演。扮演成功后，可信實體將獲得RAM角色的臨時身份憑證，即安全令牌（STS Token），使用該安全令牌就能以RAM角色身份訪問被授權的資源。

以下是使用RAM角色的安全建議：

• 創建RAM角色后，請勿隨意變更RAM角色的可信實體。修改RAM角色信任策略中的可信實體，可能會導致原受信對象權限缺失，影響業務正常運行。也可能會因增加受信對象，帶來過度授權的風險。特殊情況必須修改時請務必在測試賬號充分測試，確保功能正常使用后，再應用到正式生產賬號。

• 可信實體的RAM用戶獲得相關授權后即可以調用AssumeRole - 獲取扮演角色的臨時身份憑證接口獲取RAM角色的STS Token。STS Token自頒發后將在一段時間內有效，建議您設置合理的Token有效期，避免有效期過長帶來安全風險。

  說明

  STS Token有效期的最大值為角色的最大會話時間。從安全的角度考慮，應將角色最大會話時間也設置在合理范圍。

• 滿足條件時對RAM角色設置SSO單點登錄功能，實現直接使用企業自有的身份登錄并訪問阿里云資源。

RAM角色相關操作

• RAM角色管理

• 扮演RAM角色

• 設置RAM角色最大會話時間

• 角色SSO管理

身份管理相關文檔

• 阿里云身份與權限

• RAM基本概念

• RAM相關使用限制

• DDoS高防系統權限策略參考

• DDoS高防自定義權限策略參考