全部產品
Search

搜尋本產品

    Resource Access Management:建立RAM使用者

    文件中心

    Resource Access Management:建立RAM使用者

    更新時間:Dec 09, 2025

    為保障主帳號安全,建議您遵循許可權最小化原則,為企業內的員工、系統或應用程式建立獨立的RAM使用者,並僅授予其完成任務所需的許可權。RAM使用者建立後不產生費用,其使用雲資源產生的費用統一由所屬主帳號支付。本文介紹如何通過RAM控制台和調用API兩種方式建立RAM使用者。

    操作步驟

    控制台

    1. 使用阿里雲帳號(主帳號)或擁有Resource Access Management員許可權(AliyunRAMFullAccess)的RAM使用者登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 用户頁面,單擊创建用户

    4. 创建用户頁面的用户账号信息地區,設定使用者基本資料。

      • 登录名称(必填):可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。

      • 顯示名稱(選填):最多包含128個字元或漢字。

      • 標籤(選填):單擊edit,然後輸入標籤鍵和標籤值,便於後續基於標籤的使用者管理。

      說明

      單擊添加用户,可以大量建立多個RAM使用者。

    5. 访问方式地區,根據使用者類型進行配置:

      重要

      • 為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。

      • 存取金鑰AccessKey)是一種長期有效程式訪問憑證。AccessKey泄露會威脅該帳號下所有資源的安全。建議優先採用STS Token臨時憑證方案,降低憑證泄露的風險。更多資訊,請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務

      給員工使用(控制台访问

      勾選控制台访问

      • 设置密码:您可以選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼策略

      • 需要重置密码:選擇RAM使用者在下次登入時是否需要重設密碼。

      • MFA 多因素认证:帳號預設設定為強制所有使用者登入時必須使用 MFA。如需修改,請參考管理RAM使用者安全設定。RAM使用者首次登入時需要綁定MFA裝置,請參考為RAM使用者綁定MFA裝置

      給程式使用(使用永久AccessKey訪問

      勾選使用永久AccessKey訪問

      啟用後,系統會自動為RAM使用者產生一個AccessKey IDAccessKey Secret

      重要

      RAM使用者的AccessKey Secret只在建立時顯示,不支援後續查看,請務必立即下載或複製儲存AccessKey Secret。泄露AccessKey將嚴重威脅您帳號下所有資源的安全。更多資訊詳見建立AccessKey

    OpenAPI

    建立控制台使用者

    1. 調用GetDefaultDomain擷取帳號的預設網域名稱,格式為<AccountAlias>.onaliyun.com

    2. 調用CreateUser建立RAM使用者,其中必傳的參數建議如下:

      1. UserPrincipalName:RAM 使用者的登入名稱稱。格式為<username>@<AccountAlias>.onaliyun.com,其中<username>為 RAM 使用者名稱稱,<AccountAlias>.onaliyun.com為預設網域名稱。

      2. DisplayName:RAM使用者的顯示名稱,可以與上面<username>不同。

    3. 調用CreateLoginProfile修改訪問方式和MFA要求等,其中部分參數的建議如下:

      1. UserPrincipalName:上一步已建立的使用者資訊。

      2. Password:根據帳號的密碼強度要求配置。可以調用GetPasswordPolicy查詢當前帳號的RAM使用者密碼強度策略。

      3. MFABindRequired:建議設定強制要求RAM使用者開啟MFA,參數建議為true

      4. Status:是否開啟控制台密碼登入,保持預設值Active

    建立程式使用者

    1. 調用GetDefaultDomain擷取帳號的預設網域名稱,格式為<AccountAlias>.onaliyun.com

    2. 調用CreateUser建立RAM使用者,其中必傳的參數建議如下:

      1. UserPrincipalName:RAM 使用者的登入名稱稱。格式為<username>@<AccountAlias>.onaliyun.com,其中<username>為 RAM 使用者名稱稱,<AccountAlias>.onaliyun.com為預設網域名稱。

      2. DisplayName:RAM使用者的顯示名稱,可以與上面<username>不同。

    3. 調用CreateAccessKey建立存取金鑰AccessKey),僅需傳入UserPrincipalName,即上一步已建立的使用者資訊即可完成AccessKey建立。

      重要

      調用CreateAccessKey介面的返回結果中會包含AccessKeyIdAccessKeySecretAccessKeySecret僅在本次返回中提供,無法後續查詢,請務必立即儲存。泄露AccessKey將嚴重威脅您帳號下所有資源的安全。更多資訊詳見建立AccessKey

    後續步驟

    1. 為RAM使用者授權。

      新建立的RAM使用者沒有任何許可權,您需要為RAM使用者添加許可權,然後該RAM使用者才能訪問相應的雲資源。更多資訊請參考管理RAM使用者的許可權

    2. 使用RAM使用者登入阿里雲控制台或調用阿里雲API。

      更多資訊請參考RAM使用者登入阿里雲控制台整合概覽

    3. 修改RAM使用者的登入網域名(可選),參考查看和修改預設網域名稱