阿里云创建并授权RAM用户

为了保护您的阿里云账号(主账号)安全,在完成阿里云账号的基本设置后,建议您创建一个RAM用户,并授予该RAM用户管理阿里云账号下所有资源的权限。

阿里云账号相当于Linux操作系统的root用户,具有一个账号内的全部资源管理权限。如果日常工作中一直使用阿里云账号,不但有误操作的风险,而且还有账号被盗而导致的数据泄露、数据被删除等风险。因此,在日常工作中,建议您使用具有管理员权限的RAM用户代替阿里云账号。

什么是RAM用户

RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。RAM用户具备以下特点:

  • RAM用户由阿里云账号(主账号)或具有管理员权限的其他RAM用户、RAM角色创建,创建成功后,归属于该阿里云账号,它不是独立的阿里云账号。

  • RAM用户不拥有资源,不能独立计量计费,由所属的阿里云账号统一付费。

  • RAM用户必须在获得授权后,才能登录控制台或使用API访问阿里云账号下的资源。

  • RAM用户拥有独立的登录密码或访问密钥。

  • 一个阿里云账号下可以创建多个RAM用户,对应企业内的员工、系统或应用程序。

您可以创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。当您的企业存在多用户协同访问资源的场景时,使用RAM可以按需为用户分配最小权限,避免多用户共享阿里云账号密码或访问密钥,从而降低企业的安全风险。

使用流程

  1. 使用阿里云账号(主账号)或具有管理员权限的RAM用户、RAM角色登录RAM控制台
  2. 创建RAM用户。

    具体操作,请参见创建RAM用户。

  3. 设置登录参数。

    虽然您可以为RAM用户同时设置控制台登录密码和API调用的访问密钥AK(AccessKey),但出于安全的考虑,建议您针对不同用途的RAM用户仅设置一种登录方式。例如:如果RAM用户代表的是应用程序,则需要通过API访问资源,您只需给它创建访问密钥。如果RAM用户代表的是员工,则需要通过控制台访问资源,您只需给它设置登录密码。具体设置方法如下:

    • 控制台登录

      您需要启用RAM用户控制台登录、设置RAM用户密码强度、设置或修改登录密码、按需启用多因素认证(MFA)。具体操作,请参见管理RAM用户登录设置、设置RAM用户密码强度、修改RAM用户登录密码和为RAM用户绑定多因素认证设备。

      说明
      如果您启用了用户SSO,则可以不开启控制台登录,用户也能通过SSO方式登录到阿里云控制台。更多信息,请参见用户SSO概览。
    • API调用

      您需要为RAM用户创建访问密钥。具体操作,请参见创建AccessKey。

  4. 为RAM用户授权。

    为不同的RAM用户授予不同的资源访问权限。具体操作,请参见为RAM用户授权。

  5. 使用RAM用户登录控制台或使用访问密钥调用API。

    更多信息,请参见RAM用户登录阿里云控制台和API概览。

更多信息,请参见RAM用户概览。