藉助存取控制的RAM使用者,您可以實現阿里雲帳號和RAM使用者的許可權分割,避免因暴露阿里雲帳號密鑰,造成安全風險。按需為RAM使用者賦予許可權後,您可以限定擁有指定許可權的RAM使用者在Function Compute控制台訪問或管理資源。本文介紹如何通過阿里雲帳號建立並授權RAM使用者,以及授權後的RAM使用者如何管理資源。
應用情境
- 出於安全或信任的考慮,不希望將阿里雲帳號密鑰直接透露給員工,希望給員工建立相應的RAM使用者帳號。
- RAM使用者帳號只能在授權的前提下操作資源,不需要對RAM使用者帳號進行獨立的計量計費,所有開銷都計入企業的阿里雲帳號名下。
- 隨時可以撤銷RAM使用者帳號的許可權,也可以隨時刪除其建立的RAM使用者帳號。
步驟一:使用企業A的阿里雲帳號為員工建立RAM使用者
操作步驟
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊建立使用者。
在建立使用者頁面的使用者帳號資訊地區,設定使用者基本資料。
登入名稱稱:可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。
顯示名稱:最多包含128個字元或漢字。
標籤:單擊
,然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤,便於後續基於標籤的使用者管理。
說明單擊添加使用者,可以大量建立多個RAM使用者。
在訪問方式地區,選擇訪問方式,然後設定對應參數。
為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。
控制台訪問
如果RAM使用者代表人員,建議啟用控制台訪問,使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數:
控制台登入密碼:選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼強度。
密碼重設策略:選擇RAM使用者在下次登入時是否需要重設密碼。
多因素認證(MFA)策略:選擇是否為當前RAM使用者啟用MFA。啟用MFA後,主帳號還需要為RAM使用者綁定MFA裝置或RAM使用者自行綁定MFA裝置。更多資訊,請參見為RAM使用者綁定MFA裝置。
OpenAPI調用訪問
如果RAM使用者代表應用程式,建議啟用OpenAPI調用訪問,使用存取金鑰(AccessKey)訪問阿里雲。啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊,請參見建立AccessKey。
重要RAM使用者的AccessKey Secret只在建立時顯示,不支援查看,請妥善保管。
單擊確定。
根據介面提示,完成安全驗證。
步驟二:為RAM使用者授權
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
單擊確認新增授權。
單擊關閉。
後續步驟
使用阿里雲帳號建立RAM使用者後,企業A即可將已建立的RAM使用者的登入使用者名稱、密碼或AccessKey資訊分發給使用者。使用者可以使用RAM使用者登入阿里雲控制台或調用API。
- 登入阿里雲控制台
具體操作步驟,請參見RAM使用者登入阿里雲控制台。
- 調用API
您可以在代碼中使用RAM使用者的AccessKey ID和AccessKey Secret調用API,訪問Function Compute。