全部產品
Search

搜尋本產品

    Resource Access Management:管理RAM角色的許可權

    文件中心

    Resource Access Management:管理RAM角色的許可權

    更新時間:Feb 07, 2026

    本文介紹如何為RAM角色授予、查看和移除許可權。

    使用限制

    • 服務關聯角色的許可權由關聯的雲端服務預先定義且不可修改,您不能為服務關聯角色手動添加或移除許可權。

    • 每個RAM角色可綁定的權限原則(包括系統策略和自訂策略)數量存在上限。具體請參見使用限制

    為RAM角色新增授權

    控制台

    建議為操作人員分配系統策略AliyunRAMFullAccess (Resource Access Management員)許可權。

    控制台提供了多種授權入口,您可以根據具體情境選擇最便捷的方式。

    操作入口

    適用情境

    是否支援大量操作

    身份管理 > 角色 列表頁

    為單個或多個角色授予相同的許可權。

    許可權管理 > 授權 頁面

    從許可權視角出發,為多個不同身份(使用者、使用者組、角色)批量授予相同許可權。

    從角色頁面發起

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 角色

    3. 角色頁面,單擊目標RAM角色操作列的新增授權

      image

      您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色大量授權。

    4. 新增授權面板,為RAM角色授權。

      1. 選擇資源範圍。

        • 帳號層級:許可權在當前阿里雲帳號內生效。

        • 資源群組層級:許可權在指定的資源群組內生效。

          說明

          指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務

      2. 選擇授權主體。

        授權主體即需要添加許可權的RAM角色。系統會自動選擇當前的RAM角色。

      3. 選擇權限原則。

        權限原則是一組存取權限的集合。支援批量選中多條權限原則。

        • 系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務(雲端服務及系統策略欄)。

          說明

          系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等)。授權時,盡量避免授予不必要的高風險權限原則。

        • 自訂策略:由使用者自主建立,策略的版本更新也由使用者維護。使用者可以自主建立、更新和刪除自訂策略。關於如何建立自訂策略,請參見建立自訂權限原則

      4. 單擊確認新增授權

    5. 單擊關閉

    從授權頁面發起

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 授權

    3. 授權頁面,單擊新增授權

      image

    4. 新增授權面板,為RAM角色授權。

      1. 選擇資源範圍。

        • 帳號層級:許可權在當前阿里雲帳號內生效。

        • 資源群組層級:許可權在指定的資源群組內生效。

          說明

          指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務

      2. 選擇授權主體。

        授權主體即需要添加許可權的RAM角色。支援批量選中多個RAM角色。

      3. 選擇權限原則。

        權限原則是一組存取權限的集合。支援批量選中多條權限原則。

        • 系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務(雲端服務及系統策略欄)。

          說明

          系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等)。授權時,盡量避免授予不必要的高風險權限原則。

        • 自訂策略:由使用者自主建立,策略的版本更新也由使用者維護。使用者可以自主建立、更新和刪除自訂策略。關於如何建立自訂策略,請參見建立自訂權限原則

      4. 單擊確認新增授權

    5. 單擊關閉

    OpenAPI

    您可以調用介面AttachPolicyToRole為指定RAM角色添加許可權,並傳入參數:

    • PolicyType:要授與權限策略類型:System代表系統策略,Custom代表自訂策略。大小寫敏感

    • PolicyName:要授與權限策略的準確名稱。

    • RoleName:指定RAM角色名稱。

    說明

    調用介面AttachPolicyToRole的授權範圍為當前的阿里雲帳號,不支援資源群組層級授權。如您希望在資源群組層級對RAM角色進行授權,應調用資源群組介面AttachPolicy - 為RAM身份授權

    查看RAM角色的許可權

    建議為操作人員分配系統策略AliyunRAMReadOnlyAccess 許可權。

    控制台

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 角色

    3. 角色頁面,單擊目標RAM角色名稱。

    4. 許可權管理頁簽,查看角色被授與權限策略。

    OpenAPI

    您可以調用介面ListPoliciesForRole查看指定RAM角色的權限原則,並傳入參數:

    RoleName:指定RAM角色名稱。

    為RAM角色移除許可權

    建議為操作人員分配系統策略AliyunRAMFullAccess (Resource Access Management員)許可權。

    控制台

    您可以使用多種方式移除RAM角色的許可權。

    從角色頁面發起

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 角色

    3. 角色頁面,單擊目標RAM角色名稱。

    4. 許可權管理頁簽,單擊目標權限原則操作列的解除授權

      您也可以選中多個權限原則,單擊權限原則列表下方的解除授權,為RAM角色批量解除多個授權。

    5. 解除授權對話方塊,單擊解除授權

    從授權頁面發起

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 授權

    3. 授權頁面,單擊目標RAM角色操作列的解除授權

      您也可以選中多個RAM角色,單擊角色列表下方的解除授權,為多個RAM角色批量解除多個授權。

    4. 解除授權對話方塊,單擊解除授權

    OpenAPI

    您可以調用介面DetachPolicyFromRole為指定RAM角色移除權限原則,並傳入參數:

    • PolicyType:要移除的權限原則類型:System代表系統策略,Custom代表自訂策略。大小寫敏感

    • PolicyName:要移除的權限原則的準確名稱。

    • RoleName:指定RAM角色名稱。