阿里云訪問控制RAM將用戶身份分為兩種類型：實體用戶身份和虛擬用戶身份。劃分不同類型的用戶身份，可以幫助您更好地對不同用戶進行權限管理和訪問控制。

阿里云賬號

默認情況下，資源只能被阿里云賬號所訪問，任何其他用戶訪問都需要獲得阿里云賬號的授權。

建議您結合業務需求，進行以下設置或操作，保護您的阿里云賬號安全：

• 如非必要，避免使用阿里云賬號進行API訪問或日常運維操作，建議您使用RAM用戶進行操作。避免為阿里云賬號創建訪問密鑰（AccessKey）。阿里云不會明文保存您的阿里云賬號密碼，而是保存SHA256哈希（Hash）且加鹽（Salt）值。

• 推薦您在阿里云賬號下創建RAM用戶，并授予相關權限，后續使用該RAM用戶執行操作。

  詳細介紹，請參見創建RAM用戶。

• 妥善保管您的AccessKey（訪問密鑰），不要隨意泄露或者將AccessKey寫入到任何可能被他人獲取到的地方（例如嵌入到工程代碼中）。

  如果您的AccessKey已經使用超過90天，建議您盡快輪轉，降低AccessKey被泄露的風險。

  相關操作，請參見輪轉RAM用戶的AccessKey。

  如果您想檢測是否有AccessKey泄露到Github，可使用云安全中心的AK泄露檢測功能。該功能支持免費使用。

• 為阿里云賬號設置登錄保持時間（大于等于1小時，小于等于24小時），超出該時間賬號會自動退出登錄。

  有關阿里云賬號的詳細介紹，請參見安全設置概覽。

• 為阿里云賬號設置登錄掩碼，實現僅可以通過指定IP地址登錄并訪問阿里云資源。

• 對阿里云賬號和RAM用戶設置MFA，用于登錄控制臺或進行敏感操作時的二次身份驗證。

• RAM用戶賬號AK只支持在創建時顯示，不支持查看；且每個RAM用戶最多可創建2個AK、每個阿里云賬號最多可創建5個AK。

• 支持對RAM用戶的密碼設置有效期和過期后是否限制登錄。

RAM用戶

RAM用戶需要由阿里云賬號（主賬號）或擁有管理員權限的RAM用戶、RAM角色來創建，且必須在獲得授權后，才能登錄控制臺或使用API訪問阿里云賬號下的資源。

• 當您的企業存在多用戶協同訪問資源的場景時，使用RAM用戶可以實現不同RAM用戶擁有不同資源訪問權限的目的，可按需為用戶分配最小權限，避免多用戶共享阿里云賬號密碼或訪問密鑰，從而降低企業的安全風險。

• 每個RAM用戶可以分配有不同的密碼或AccessKey（即AK），消除云賬號共享帶來的安全風險。同時可為不同的RAM用戶分配不同的工作權限。

• 創建RAM用戶時，支持同時設置多種不同的訪問方式，但建議您針對不同用途的RAM用戶僅設置一種登錄方式，以提高賬號的安全性。

  例如：如果RAM用戶代表的是應用程序，則需要通過API訪問資源，您只需為它創建訪問密鑰。如果RAM用戶代表的是員工，則需要通過控制臺訪問資源，您只需為它設置登錄密碼。

• 如有需要，對RAM用戶設置SSO單點登錄功能，實現直接使用企業自有的身份登錄并訪問阿里云資源。

• 角色配額限定在一定的范圍內，超過配額后將無法創建更多角色。相關介紹，請參見使用限制。

RAM用戶組

當您的阿里云賬號下有多個RAM用戶時，可以通過創建用戶組對職責相同的RAM用戶分組進行授權，實現高效地管理RAM用戶及其權限。

• 當多個RAM用戶需要授予相同權限時，通過將其添加到用戶組，針對用戶組設置權限策略，即可讓該用戶組下的所有RAM用戶應用該權限策略。

• 在RAM用戶職責發生變化時，只需將其移動到相應職責的用戶組下，不會對其他RAM用戶產生影響。

• 當某個用戶組不再需要某些權限時，可以直接為用戶組移除權限。移除權限后，該用戶組中的多個RAM用戶將無法再訪問指定權限的資源。詳細信息，請參見為用戶組移除權限。

RAM角色

RAM角色（RAM role）與RAM用戶一樣，都是阿里云支持的RAM身份類型的一種。RAM角色是一種虛擬用戶，沒有確定的身份認證密鑰，需要被一個受信的實體用戶扮演，扮演成功后實體用戶將獲得RAM角色的安全令牌，使用這個安全令牌就能以角色身份訪問被授權的資源。

• RAM角色創建后，默認無任何權限，需管理員對RAM角色授權后，該角色才能通過控制臺和API訪問并使用云資源。詳情請參見為RAM角色授權。

• 支持為RAM角色頒發有時效性限制的訪問令牌（STS令牌），這種授予訪問權限的方式更安全。

  詳細信息，請參見什么是STS。

• 每個RAM角色支持設置最大會話時間，角色的會話時長超出最大會話時間的設置范圍時，相關操作會失敗。

  最大會話時間支持修改。詳細信息，請參見設置角色最大會話時間。