RAM用戶(hù)

RAM用戶(hù)需要由阿里云賬號(hào)（即主賬號(hào)）或擁有管理員權(quán)限的RAM用戶(hù)、RAM角色來(lái)創(chuàng)建，且必須在獲得授權(quán)后才能登錄控制臺(tái)或使用API訪問(wèn)阿里云賬號(hào)下的資源。

對(duì)于RAM用戶(hù)的使用，建議您：

• 使用阿里云賬號(hào)創(chuàng)建一個(gè)RAM用戶(hù)，并為RAM用戶(hù)授予管理員權(quán)限，后續(xù)使用有管理員權(quán)限的RAM用戶(hù)創(chuàng)建并管理其他RAM用戶(hù)。

• 將人員用戶(hù)和程序用戶(hù)分離。

  創(chuàng)建RAM用戶(hù)時(shí)，支持設(shè)置控制臺(tái)訪問(wèn)和OpenAPI調(diào)用訪問(wèn)兩種訪問(wèn)方式。控制臺(tái)用戶(hù)使用賬號(hào)密碼訪問(wèn)云產(chǎn)品控制臺(tái)，API用戶(hù)使用訪問(wèn)密鑰AK（AccessKey）調(diào)用API訪問(wèn)云資源。建議您將兩個(gè)不同的使用場(chǎng)景分離，避免誤操作導(dǎo)致服務(wù)受到影響。對(duì)于通過(guò)控制臺(tái)訪問(wèn)的用戶(hù)，推薦為其開(kāi)啟MFA多因素認(rèn)證。

• 按需為RAM用戶(hù)分配最小權(quán)限。

  最小權(quán)限是指授予用戶(hù)執(zhí)行某項(xiàng)任務(wù)所需的權(quán)限，不授予其他無(wú)需用到的權(quán)限。最小授權(quán)可以避免用戶(hù)操作權(quán)限過(guò)大，提高數(shù)據(jù)安全性，減少因權(quán)限濫用導(dǎo)致的安全風(fēng)險(xiǎn)。

• 不要把RAM用戶(hù)的AccessKey ID和AccessKey Secret保存在工程代碼中，否則可能導(dǎo)致AK泄露，威脅您賬號(hào)下所有資源的安全。建議您使用STS或環(huán)境變量等方式獲取訪問(wèn)授權(quán)。

• 滿足條件時(shí)對(duì)RAM用戶(hù)設(shè)置SSO單點(diǎn)登錄功能，實(shí)現(xiàn)直接使用企業(yè)自有的身份登錄并訪問(wèn)阿里云資源。

RAM用戶(hù)相關(guān)操作

• RAM用戶(hù)管理

• AK安全方案

• RAM用戶(hù)SSO管理

RAM用戶(hù)組

當(dāng)您的阿里云賬號(hào)下有多個(gè)RAM用戶(hù)時(shí)，可以通過(guò)創(chuàng)建用戶(hù)組對(duì)職責(zé)相同的RAM用戶(hù)進(jìn)行分組管理和批量授權(quán)，實(shí)現(xiàn)高效地管理RAM用戶(hù)及其權(quán)限。對(duì)于RAM用戶(hù)組的使用，建議您：

• 在對(duì)RAM用戶(hù)組授權(quán)時(shí)遵循最小權(quán)限策略原則。

• 在RAM用戶(hù)職責(zé)發(fā)生變化時(shí)將其從不再歸屬的用戶(hù)組中移除，避免權(quán)限濫用。

• 在某個(gè)用戶(hù)組不再需要某些權(quán)限時(shí)移除用戶(hù)組對(duì)應(yīng)的權(quán)限。

RAM用戶(hù)組相關(guān)操作

• RAM用戶(hù)組管理

RAM角色

RAM角色是一種虛擬用戶(hù)，可以被授予一組權(quán)限策略。與RAM用戶(hù)不同，RAM角色沒(méi)有永久身份憑證（登錄密碼或訪問(wèn)密鑰），需要被一個(gè)可信實(shí)體扮演。扮演成功后，可信實(shí)體將獲得RAM角色的臨時(shí)身份憑證，即安全令牌（STS Token），使用該安全令牌就能以RAM角色身份訪問(wèn)被授權(quán)的資源。

以下是使用RAM角色的安全建議：

• 創(chuàng)建RAM角色后，請(qǐng)勿隨意變更RAM角色的可信實(shí)體。修改RAM角色信任策略中的可信實(shí)體，可能會(huì)導(dǎo)致原受信對(duì)象權(quán)限缺失，影響業(yè)務(wù)正常運(yùn)行。也可能會(huì)因增加受信對(duì)象，帶來(lái)過(guò)度授權(quán)的風(fēng)險(xiǎn)。特殊情況必須修改時(shí)請(qǐng)務(wù)必在測(cè)試賬號(hào)充分測(cè)試，確保功能正常使用后，再應(yīng)用到正式生產(chǎn)賬號(hào)。

• 可信實(shí)體的RAM用戶(hù)獲得相關(guān)授權(quán)后即可以調(diào)用AssumeRole - 獲取扮演角色的臨時(shí)身份憑證接口獲取RAM角色的STS Token。STS Token自頒發(fā)后將在一段時(shí)間內(nèi)有效，建議您設(shè)置合理的Token有效期，避免有效期過(guò)長(zhǎng)帶來(lái)安全風(fēng)險(xiǎn)。

  說(shuō)明

  STS Token有效期的最大值為角色的最大會(huì)話時(shí)間。從安全的角度考慮，應(yīng)將角色最大會(huì)話時(shí)間也設(shè)置在合理范圍。

• 滿足條件時(shí)對(duì)RAM角色設(shè)置SSO單點(diǎn)登錄功能，實(shí)現(xiàn)直接使用企業(yè)自有的身份登錄并訪問(wèn)阿里云資源。

RAM角色相關(guān)操作

• RAM角色管理

• 扮演RAM角色

• 設(shè)置RAM角色最大會(huì)話時(shí)間

• 角色SSO管理

身份管理相關(guān)文檔

• 阿里云身份與權(quán)限

• RAM基本概念

• RAM相關(guān)使用限制

• 資源管理系統(tǒng)權(quán)限策略參考

• 資源管理自定義權(quán)限策略參考

• 資源目錄中的RAM角色

• 資源組服務(wù)關(guān)聯(lián)角色

• 資源共享服務(wù)關(guān)聯(lián)角色

• 資源中心服務(wù)關(guān)聯(lián)角色