RAM用戶即RAM賬號,是RAM的一種實體身份類型。您可以為阿里云賬號(主賬號)創建RAM用戶并為其授權,實現不同RAM用戶擁有不同資源訪問權限的目的。當您的企業存在多用戶協同訪問資源的場景時,您可以創建多個RAM用戶并按需為其分配最小權限,避免多用戶共享阿里云賬號(主賬號)密碼或訪問密鑰(AccessKey),從而降低企業的安全風險。
什么是RAM用戶
RAM用戶是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程序一一對應。RAM用戶具備以下特點:
RAM用戶由阿里云賬號(主賬號)或具有管理員權限的其他RAM用戶、RAM角色創建,創建成功后,歸屬于該阿里云賬號,它不是獨立的阿里云賬號。
RAM用戶不擁有資源,不能獨立計量計費,由所屬的阿里云賬號統一付費。
RAM用戶必須在獲得授權后,才能登錄控制臺或使用API訪問阿里云賬號下的資源。
RAM用戶擁有獨立的登錄密碼或AccessKey。
一個阿里云賬號下可以創建多個RAM用戶,對應企業內的員工、系統或應用程序。
RAM用戶類型
按照RAM用戶的創建途徑,RAM用戶分為以下幾種:
手動創建:在RAM中創建的RAM用戶。更多信息,請參見創建RAM用戶。
SCIM同步:通過SCIM協議從身份提供商(IdP)同步到RAM中創建的用戶,不支持手動刪除。更多信息,請參見通過SCIM協議將企業內部賬號同步到阿里云RAM。
云SSO同步:通過云SSO的RAM用戶同步功能創建的RAM用戶。該類型的RAM用戶必須通過云SSO登錄,不能直接通過RAM用戶名密碼登錄。可以綁定釘釘,但不可以使用RAM釘釘掃碼登錄。RAM用戶同步任務刪除后,才能手動刪除保留的RAM用戶。更多信息,請參見配置RAM用戶同步。
使用流程
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
創建RAM用戶。
具體操作,請參見創建RAM用戶。
設置登錄參數。
雖然您可以為RAM用戶同時設置控制臺登錄密碼和API調用的AccessKey,但出于安全的考慮,建議您針對不同用途的RAM用戶僅設置一種登錄方式。例如:如果RAM用戶代表的是應用程序,則需要通過API訪問資源,您只需給它創建AccessKey。如果RAM用戶代表的是員工,則需要通過控制臺訪問資源,您只需給它設置登錄密碼。具體設置方法如下:
控制臺登錄
您需要啟用RAM用戶控制臺登錄、設置RAM用戶密碼強度、設置或修改登錄密碼、按需啟用多因素認證(MFA)。具體操作,請參見管理RAM用戶登錄設置、設置RAM用戶密碼強度、修改RAM用戶登錄密碼和為RAM用戶綁定多因素認證設備。
說明如果您啟用了用戶SSO,則可以不開啟控制臺登錄,用戶也能通過SSO方式登錄到阿里云控制臺。更多信息,請參見用戶SSO概覽。
API調用
您需要為RAM用戶創建AccessKey。具體操作,請參見創建AccessKey。
為RAM用戶授權。
為不同的RAM用戶授予不同的資源訪問權限。具體操作,請參見為RAM用戶授權。
使用RAM用戶登錄控制臺或使用AccessKey調用API。
更多信息,請參見RAM用戶登錄阿里云控制臺和使用OpenAPI。
最佳實踐
當企業擁有多種云資源時,使用RAM的身份管理與權限管理功能,實現用戶分權及資源統一管理。更多信息,請參見用戶管理與分權。
使用限制
關于RAM用戶的使用限制,請參見使用限制。