RAM使用者即RAM帳號,是RAM的一種實體身份類型。您可以為阿里雲帳號(主帳號)建立RAM使用者並為其授權,實現不同RAM使用者擁有不同資源存取權限的目的。當您的企業存在多使用者協同訪問資源的情境時,您可以建立多個RAM使用者並按需為其分配最小許可權,避免多使用者共用阿里雲帳號(主帳號)密碼或存取金鑰(AccessKey),從而降低企業的安全風險。
什麼是RAM使用者
RAM使用者是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程式一一對應。RAM使用者具備以下特點:
RAM使用者由阿里雲帳號(主帳號)或具有管理員權限的其他RAM使用者、RAM角色建立,建立成功後,歸屬於該阿里雲帳號,它不是獨立的阿里雲帳號。
RAM使用者不擁有資源,不能獨立計量計費,由所屬的阿里雲帳號統一付費。
RAM使用者必須在獲得授權後,才能登入控制台或使用API訪問阿里雲帳號下的資源。
RAM使用者擁有獨立的登入密碼或AccessKey。
一個阿里雲帳號下可以建立多個RAM使用者,對應企業內的員工、系統或應用程式。
RAM使用者類型
按照RAM使用者的建立途徑,RAM使用者分為以下幾種:
手動建立:在RAM中建立的RAM使用者。更多資訊,請參見建立RAM使用者。
雲SSO同步:通過雲SSO的RAM使用者同步功能建立的RAM使用者。該類型的RAM使用者必須通過雲SSO登入,不能直接通過RAM使用者名稱密碼登入。RAM使用者同步任務刪除後,才能手動刪除保留的RAM使用者。更多資訊,請參見配置RAM使用者同步。
使用流程
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
建立RAM使用者。
具體操作,請參見建立RAM使用者。
設定登入參數。
雖然您可以為RAM使用者同時設定控制台登入密碼和API調用的AccessKey,但出於安全的考慮,建議您針對不同用途的RAM使用者僅設定一種登入方式。例如:如果RAM使用者代表的是應用程式,則需要通過API訪問資源,您只需給它建立AccessKey。如果RAM使用者代表的是員工,則需要通過控制台訪問資源,您只需給它設定登入密碼。具體設定方法如下:
控制台登入
您需要啟用RAM使用者控制台登入、設定RAM使用者密碼強度、設定或修改登入密碼、按需啟用多因素認證(MFA)。具體操作,請參見管理RAM使用者登入設定、設定RAM使用者密碼強度、修改RAM使用者登入密碼和為RAM使用者綁定MFA裝置。
說明如果您啟用了使用者SSO,則可以不開啟控制台登入,使用者也能通過SSO方式登入到阿里雲控制台。更多資訊,請參見使用者SSO概覽。
API調用
您需要為RAM使用者建立AccessKey。具體操作,請參見建立AccessKey。
為RAM使用者授權。
為不同的RAM使用者授予不同的資源存取權限。具體操作,請參見為RAM使用者授權。
使用RAM使用者登入控制台或使用AccessKey調用API。
更多資訊,請參見RAM使用者登入阿里雲控制台和使用OpenAPI。
最佳實務
當企業擁有多種雲資源時,使用RAM的身份管理與許可權管理功能,實現使用者分權及資源統一管理。更多資訊,請參見使用者管理與分權。
使用限制
關於RAM使用者的使用限制,請參見使用限制。