RAM使用者組是RAM中的一種實體身份類型,RAM使用者組可以對職責相同的RAM使用者進行分類並授權,從而更高效地管理RAM使用者及其許可權。
步驟一:建立RAM使用者組
操作步驟
使用阿里雲帳號(主帳號)或具有系統管理權限的RAM使用者登入RAM控制台。
在左側導覽列,選擇。
在使用者組頁面,單擊建立使用者組。
在建立使用者組頁面,輸入使用者組名稱、顯示名稱和備忘。
單擊確定。
步驟二:為RAM使用者組添加RAM使用者
使用阿里雲帳號(主帳號)或具有系統管理權限的RAM使用者登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊目標RAM使用者操作列的添加到使用者組。
在添加群組成員面板,RAM使用者會自動填入,選擇該RAM使用者需要加入的使用者組。
單擊確定。
單擊關閉。
步驟三(可選):建立自訂權限原則
RAM提供了兩種權限原則:系統權限原則和自訂權限原則。系統權限原則由阿里雲統一提供,不支援修改。如果系統權限原則不能滿足您的需求,您可以按需建立自訂權限原則,實現精微調權限管理。
建立自訂權限原則有多種方式,如下將以通過可視化編輯模式建立自訂權限原則為例為您介紹。更多其他方式,請參見建立自訂權限原則。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊可視化編輯頁簽。
配置權限原則,然後單擊繼續編輯基本資料。
在效果地區,選擇允許或拒絕。
在服務地區,選擇雲端服務。
說明支援可視化編輯模式的雲端服務以控制台介面顯示為準。
在操作地區,選擇全部操作或指定操作。
系統會根據您上一步選擇的雲端服務,自動篩選出可以配置的操作。如果您選擇了指定操作,您需要繼續選擇具體的操作。
在資源地區,選擇全部資源或指定資源。
系統會根據您上一步選擇的操作,自動篩選出可以配置的資源類型。如果您選擇了指定資源,您需要繼續單擊添加資源,配置具體的資源ARN。您可以使用匹配全部功能,快速選擇對應配置項的全部資源。
說明為了權限原則的正常生效,對操作關聯的必要資源ARN標識了必要,強烈建議您配置該資源ARN。
在條件地區,單擊添加條件,配置條件。
條件包括阿里雲通用條件和服務級條件,系統會根據您前面配置的雲端服務和操作,自動篩選出可以配置的條件列表。您只需要選擇對應條件鍵配置具體內容。
單擊添加語句,重複上述步驟,配置多條權限原則語句。
輸入權限原則名稱和備忘。
檢查並最佳化權限原則內容。
基礎權限原則最佳化
系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:
刪除不必要的條件。
刪除不必要的數組。
可選:進階權限原則最佳化
您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:
拆分不相容操作的資源或條件。
收縮資源到更小範圍。
去重或合并語句。
單擊確定。
步驟四:為RAM使用者組授權
授權時,建議遵循最小化原則,僅授予必要的許可權。
使用阿里雲帳號(主帳號)或具有系統管理權限的RAM使用者登入RAM控制台。
在左側導覽列,選擇。
在使用者組頁面,單擊目標使用者組操作列的添加許可權。
在添加許可權面板,為使用者組添加許可權。
選擇授權應用範圍。
整個雲帳號:許可權在當前阿里雲帳號內生效。
指定資源群組:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務已支援資源群組。更多資訊,請參見支援資源群組的雲端服務。
指定授權主體。
授權主體即需要授權的使用者組,系統會自動填入當前的使用者組,您也可以添加其他使用者組。
選擇權限原則。
說明每次最多綁定5條策略,如需綁定更多策略,請分次操作。
單擊確定。
單擊完成。