RAM使用者即RAM使用者,是RAM的一種實體身份類型。您可以在阿里雲帳號(主帳號)下建立RAM使用者並為其授權,實現不同RAM使用者擁有不同資源存取權限的目的。
前提條件
建立RAM使用者
下述步驟4中,建議您將登入名稱稱設定為vod,本文後續描述都以登入名稱稱vod為例。
下述步驟5中,建議您訪問方式選擇OpenAPI調用訪問方式。
操作步驟
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊建立使用者。
在建立使用者頁面的使用者帳號資訊地區,設定使用者基本資料。
登入名稱稱:可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。
顯示名稱:最多包含128個字元或漢字。
標籤:單擊
,然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤,便於後續基於標籤的使用者管理。
說明單擊添加使用者,可以大量建立多個RAM使用者。
在訪問方式地區,選擇訪問方式,然後設定對應參數。
為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。
控制台訪問
如果RAM使用者代表人員,建議啟用控制台訪問,使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數:
控制台登入密碼:選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼策略。
密碼重設策略:選擇RAM使用者在下次登入時是否需要重設密碼。
多因素認證(MFA)策略:選擇是否為當前RAM使用者啟用MFA。啟用MFA後,還需要綁定MFA裝置。更多資訊,請參見RAM使用者自行綁定MFA裝置。
使用永久AccessKey訪問
如果RAM使用者代表應用程式,您可以使用永久存取金鑰(AccessKey)訪問阿里雲。啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊,請參見建立AccessKey。
重要RAM使用者的AccessKey Secret只在建立時顯示,不支援查看,請妥善保管。
存取金鑰(AccessKey)是一種長期有效程式訪問憑證。AccessKey泄露會威脅該帳號下所有資源的安全。建議優先採用STS Token臨時憑證方案,降低憑證泄露的風險。更多資訊,請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務。
單擊確定。
單擊確定後,會自動產生該RAM使用者的登入密碼和AccessKey資訊(AccessKey ID和AccessKey Secret)。請務必儲存好登入密碼和AccessKey資訊,否則後續無法查詢。
為RAM使用者授權
在RAM控制台的使用者頁面,單擊目標RAM使用者(上述建立的vod使用者)操作列的添加許可權。
在添加許可權面板,為RAM使用者添加許可權。
說明建議為vod使用者添加可以管理和操作ApsaraVideo for VOD所有資源的系統策略許可權AliyunVODFullAccess,可通過在系統策略的搜尋輸入框中輸入
AliyunVODFullAccess尋找,有關ApsaraVideo for VOD系統策略的定義及許可權資訊請參見系統授權策略。
選擇資源範圍:
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。如果RAM使用者被授予了資源群組層級的許可權,該使用者登入控制台後,必須在頂部導覽列將資源範圍切換到被授權的資源群組,才能正常訪問和管理該資源群組內的資源。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),這些策略通常包含對所有雲資源的完全控制許可權或對存取控制(RAM)的完全系統管理權限等,請謹慎授予。
資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體:
授權主體即需要添加許可權的RAM使用者。如果是從使用者頁面發起,系統會自動選擇當前的RAM使用者。如果是從授權頁面發起,需要手動選擇RAM使用者,支援批量選中多個。
選擇權限原則:
系統策略:可以直接搜尋並選擇。搜尋技巧:您可以利用搜尋方塊快速定位策略。支援按產品名稱(如
ECS、OSS)、權限等級(如ReadOnly、FullAccess)或完整的策略名稱稱進行模糊搜尋。自訂策略:需要先建立自訂權限原則後再來授權。
單擊確認新增授權。
確認授權綁定操作結果,單擊關閉。
後續操作
若後續需要給RAM使用者增加登入控制台的許可權,可參見管理RAM使用者登入設定。