全部產品
Search

搜尋本產品

    Resource Access Management:RAM使用者常見問題

    文件中心

    Resource Access Management:RAM使用者常見問題

    更新時間:Mar 12, 2024

    本文介紹了RAM使用者常見問題,包括登入、費用和許可權等問題。

    RAM使用者登入地址和登入方式是什嗎?

    RAM使用者登入地址: RAM使用者登入地址

    說明

    通過登入RAM控制台,在概覽頁可以快速查詢登入RAM使用者登入地址。當您使用此地址登入時,系統會為您自動填寫預設網域名稱,您只需補齊RAM使用者名稱稱即可。

    RAM使用者登入方式有以下幾種:

    • 方式一:使用預設網域名稱登入。RAM使用者的登入格式為<UserName>@<AccountAlias>.onaliyun.com,例如:username@company-alias.onaliyun.com。

      說明

      RAM使用者的登入帳號為UPN(User Principal Name)格式,即RAM控制台使用者列表中所見的使用者登入名稱稱。<UserName>為RAM使用者名稱稱,<AccountAlias>.onaliyun.com為預設網域名稱。關於預設網域名稱的更多資訊,請參見基本概念查看和修改預設網域名稱

    • 方式二:使用帳號別名登入。RAM使用者的登入格式為<UserName>@<AccountAlias>,例如:username@company-alias。

      說明

      <UserName>為RAM使用者名稱稱,<AccountAlias>為帳號別名。關於帳號別名的更多資訊,請參見基本概念查看和修改預設網域名稱

    • 方式三:如果建立了域別名,也可以使用域別名登入。RAM使用者的登入格式為<UserName>@<DomainAlias>,例如:username@example.com。

      說明

      <UserName>為RAM使用者名稱稱,<DomainAlias>為域別名。關於域別名的更多資訊,請參見基本概念建立並驗證域別名

    什麼是預設網域名稱和域別名?

    阿里雲為每個阿里雲帳號分配了一個預設網域名稱,格式為:<AccountAlias>.onaliyun.com。預設網域名稱可作為RAM使用者登入或單點登入(SSO)等情境下該阿里雲帳號的唯一識別碼。關於如何設定預設網域名稱,請參見查看和修改預設網域名稱

    如果您持有公網上可以解析的網域名稱,那麼您可以使用該網域名稱替代您的預設網域名稱,該網域名稱稱為域別名。域別名就是指預設網域名稱的別名。關於如何設定域別名,請參見建立並驗證域別名

    說明

    域別名必須經過網域名稱歸屬驗證後才能使用。驗證通過後,您可以使用域別名替代預設網域名稱,用於所有需要使用預設網域名稱的情境。

    RAM使用者採購雲產品需要什麼許可權?

    • 如需採購隨用隨付的雲產品,一般只需給RAM使用者指派該雲產品的建立執行個體或建立資源的許可權即可。

    • 如需採購訂用帳戶的雲產品,還需要額外授予支付訂單的許可權,即授予使用者AliyunBSSOrderAccess的權限原則。

    • 某些雲產品在購買時需要使用或建立其他多種資源,這種情況下需要RAM使用者具備相應資源的讀取或建立許可權。

      以下以建立ECS執行個體為例,說明具體需要的許可權。

      如下權限原則表示RAM使用者可以從執行個體啟動模板建立ECS執行個體: 

      {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:CreateInstance",
                "ecs:RunInstances",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      如果需要RAM使用者在建立ECS執行個體過程中使用或建立其他資源,根據資源類型不同,還需要授予下表所示的對應許可權。

      操作

      權限原則

      使用快照建立ECS執行個體

      ecs:DescribeSnapshots

      同時建立並使用新的VPC

      • vpc:CreateVpc

      • vpc:CreateVSwitch

      同時建立並使用新的安全性群組

      • ecs:CreateSecurityGroup

      • ecs:AuthorizeSecurityGroup

      指定執行個體角色

      • ecs:DescribeInstanceRamRole

      • ram:ListRoles

      • ram:PassRole

      使用Keypair

      • ecs:CreateKeyPair

      • ecs:DescribeKeyPairs

      在Dedicated Host上建立ECS執行個體

      ecs:AllocateDedicatedHosts

      說明

    為什麼RAM使用者被授權後依然無存取權限?

    • 對於支援許可權診斷的雲端服務,您可以直接查看無許可權原因及對應的處理策略。具體操作,請參見如何排查無許可權的訪問錯誤?

    • 對於不支援許可權診斷的雲端服務,您可以參照下表分析原因並解決無許可權問題。

      問題原因

      解決方案

      權限原則錯誤。

      檢查RAM使用者的權限原則,保證權限原則正確且符合預期。

      自訂策略中設定了拒絕策略。

      檢查RAM使用者的權限原則和RAM使用者加入的RAM使用者組的權限原則中是否對相關資源或操作設定了"Effect": "Deny"。例如:RAM使用者擁有隻讀訪問Elastic Compute Service的許可權AliyunECSReadOnlyAccess ,但如果同時也擁有如下權限原則,根據RAM的Deny優先原則,該RAM使用者無法查看ECS資源。

      {
    "Statement": [{
        "Action": "ecs:*",
        "Effect": "Deny",
        "Resource": "*"
    }],
    "Version": "1"
}

      資源不支援對應的鑒權方式。

      不同雲端服務對不同鑒權方式的支援情況不同,請檢查並使用對應支援的鑒權方式。

      受到資來源目錄管控策略的影響。

      如果被授權的RAM使用者所屬的主帳號是資來源目錄的成員,且資來源目錄啟用並設定了拒絕訪問某資源的管控策略,則RAM使用者無權訪問該資源。此時,您需要聯絡資來源目錄的管理帳號,修改或解除綁定該管控策略。具體操作如下:

      1. 確定資來源目錄成員所屬的資來源目錄的管理帳號:

        具體操作,請參見成員查看歸屬的資來源目錄資訊

      2. 聯絡管理帳號,修改或解除綁定管控策略。

        具體操作,請參見修改自訂管控策略解除綁定自訂管控策略

    為什麼RAM使用者沒有許可權仍然可以操作?

    例如:RAM使用者沒有ECS的AliyunECSFullAccess或者AliyunECSReadOnlyAccess系統策略,也沒有添加任何自訂策略,但可以查看執行個體列表。

    • 請檢查RAM使用者所在的使用者組權限原則中是否存在允許RAM使用者操作的相應許可權。

    • 請確認當前已經被授權給RAM使用者的其他權限原則中是否包含了相關許可權。

      例如:CloudMonitor的系統權限原則為AliyunCloudMonitorFullAccess,此許可權包括查看ECS執行個體列表的許可權:"ecs:DescribeInstances",查看RDS執行個體列表的許可權:"rds:DescribeDBInstances"和查看SLB執行個體列表的許可權"slb:DescribeLoadBalancer"等。當AliyunCloudMonitorFullAccess被授權給RAM使用者後,該RAM使用者便有許可權查看ECS、RDS和SLB等雲產品的執行個體資訊。

    怎樣授權RAM使用者單獨管理續約?

    目前續約管理沒有統一的權限原則,需要根據具體雲產品自訂權限原則。一般需要授予RAM使用者購買該雲產品所需要的許可權以及支付訂單的許可權。

    例如:RAM使用者管理ECS執行個體續約的許可權,您需要為RAM使用者授予以下自訂權限原則,還要授予AliyunBSSOrderAccess系統權限原則。

    {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:RenewInstance",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    RAM使用者使用資源所產生的費用怎麼計算?

    • RAM使用者使用資源所產生的費用由其所屬的阿里雲帳號承擔。

    • RAM使用者可以自動享有阿里雲帳號享有的折扣,無需特殊設定。

    • 消費額度、信用額度和獨立付款條件等財務相關屬性均為阿里雲帳號內的全域設定,影響所有RAM使用者。不支援為某個RAM使用者單獨設定。

    • RAM使用者可以被授權進行儲值操作,儲值後的金額歸屬於阿里雲帳號。

    • RAM使用者或RAM使用者組不能作為獨立的財務單元出賬單。

    為什麼RAM授權後,沒有立刻在雲產品中生效?

    RAM採用多地區(Region)、多可用性區域(AZ)部署的高可用架構,資料在不同的Region間複製,並遵從最終一致性。當您在RAM中進行授權後,RAM會將授權資訊同步分發到全球各個Region以及AZ中,為各個雲產品提供鑒權能力。當某個AZ或者Region發生宕機後,RAM高可用容災機制會切換到其它可用的AZ。

    授權資訊分發機制需要一定的時間來確保授權生效。當您進行授權變更後,需要等待一定的時間,授權才能在雲產品中生效。

    RAM會保證授權資料的最終一致性。