功能概述
RAM(Resource Access Management)用戶是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程序一一對應。您可以創建RAM用戶并為其授權,實現不同RAM用戶擁有不同資源訪問權限的目的。當您的企業存在多用戶協同訪問資源的場景時,使用RAM可以按需為用戶分配最小權限,避免多用戶共享阿里云賬號密碼或訪問密鑰,從而降低企業的安全風險。
功能實現
要實現創建并給有關RAM用戶授權業務空間的權限,需要完成以下三個步驟:
創建RAM用戶;
為RAM用戶授予管理云小蜜(智能對話機器人)服務的權限;
說明授予管理云小蜜權限后,有關RAM用戶即可登錄智能對話機器人,但無法查看到有關具體業務空間數據,需要進一步完成對有關RAM用戶的業務空間授權。
為RAM用戶授予管理有關業務空間權限;
創建RAM用戶
使用阿里云賬號登錄RAM控制臺。
在左側導航欄,選擇身份管理>用戶。
在用戶頁面,單擊創建用戶。
在創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。
登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
可選:標簽:您可以單擊,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。
說明單擊添加用戶,可以批量創建多個RAM用戶。
在訪問方式區域,選擇訪問方式,然后設置對應參數。
為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。
控制臺訪問:
如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和密碼訪問阿里云。啟用后,您需要設置以下參數:
控制臺密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規則。更多信息,請參見設置RAM用戶密碼強度。
密碼重置策略:選擇在下次登錄時是否需要重置密碼。
多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。選擇啟用MFA后,RAM用戶登錄控制臺時,需要綁定MFA設備。更多信息,請參見為RAM用戶綁定MFA設備。
OpenAPI調用訪問
如果RAM用戶代表應用程序,建議啟用OpenAPI調用訪問,使用訪問密鑰(AccessKey)訪問阿里云。啟用后,系統會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。更多信息,請參見創建AccessKey。
單擊確定。
授予RAM用戶管理云小蜜權限
授予管理云小蜜權限后,有關RAM用戶即可登錄智能對話機器人,但無法查看到有關具體業務空間數據,需要進一步完成對有關RAM用戶的業務空間授權。
使用阿里云賬號登錄RAM控制臺。在左側導航欄,選擇身份管理>用戶。在用戶頁面,單擊目標RAM用戶操作列的添加權限。
在系統策略下面的搜索框搜索“管理云小蜜權限”,鼠標單擊名稱,點擊確定即可。
選擇授權應用范圍:整個云賬號(表示權限在當前阿里云賬號內生效)。
說明應用范圍為指定資源組表示權限在指定的資源組內生效。指定資源組授權生效的前提是該云服務已支持資源組。更多信息,請參見支持資源組的云服務。
輸入授權主體:授權主體即需要添加權限的RAM用戶。
選擇權限策略:系統策略下面的搜索框搜索“管理云小蜜權限”。
創建之后的RAM用戶賬號即可在RAM用戶登錄界面登錄。
授予RAM用戶管理有關業務空間權限
若開啟自動授權默認業務空間功能,系統默認為每個子用戶自動授權默認業務空間,之后若需關閉則需要主賬號在用戶管理頁面對子賬號設置業務范圍。自動授權默認業務空間默認開啟,點擊該按鈕即可關閉。
在RAM控制臺創建完的RAM賬號沒有登錄過智能對話機器人控制臺的話,是不會在智能對話機器人控制臺顯示的,有兩種方式使其顯示:一種是登錄RAM賬號進入一次智能對話機器人控制臺,另一種是主賬號在用戶管理里面點擊“新增用戶”按鈕,手動添加一下新增的RAM賬號。
有關業務空間中更具體的功能和數據權限授予可參考《系統管理》。
使用主賬號登錄阿里云官網之后,進入智能對話機器人控制臺>系統管理>用戶管理,點擊RAM用戶賬號后面的“權限編輯”按鈕;
進入編輯用戶界面,在“業務范圍”里面給RAM用戶賬號授予業務空間權限。
說明角色:可以根據角色劃分來控制各功能節點的權限,有關角色的具體介紹參考《角色管理》。
數據權限:即有關功能下具體業務數據的管理權限。