全部产品
Search

搜索本产品

    访问控制:管理RAM角色的权限

    文档中心

    访问控制:管理RAM角色的权限

    更新时间:Feb 06, 2026

    本文介绍如何为RAM角色授予、查看和移除权限。

    使用限制

    • 服务关联角色的权限由关联的云服务预先定义且不可修改,您不能为服务关联角色手动添加或移除权限。

    • 每个RAM角色可绑定的权限策略(包括系统策略和自定义策略)数量存在上限。具体请参见使用限制

    为RAM角色新增授权

    控制台

    建议为操作人员分配系统策略AliyunRAMFullAccess (RAM管理员)权限。

    控制台提供了多种授权入口,您可以根据具体场景选择最便捷的方式。

    操作入口

    适用场景

    是否支持批量操作

    身份管理 > 角色 列表页

    为单个或多个角色授予相同的权限。

    权限管理 > 授权 页面

    从权限视角出发,为多个不同身份(用户、用户组、角色)批量授予相同权限。

    从角色页面发起

    1. 使用RAM管理员登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 角色

    3. 角色页面,单击目标RAM角色操作列的新增授权

      image

      您也可以选中多个RAM角色,单击角色列表下方的新增授权,为RAM角色批量授权。

    4. 新增授权面板,为RAM角色授权。

      1. 选择资源范围。

        • 账号级别:权限在当前阿里云账号内生效。

        • 资源组级别:权限在指定的资源组内生效。

          说明

          指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务

      2. 选择授权主体。

        授权主体即需要添加权限的RAM角色。系统会自动选择当前的RAM角色。

      3. 选择权限策略。

        权限策略是一组访问权限的集合。支持批量选中多条权限策略。

        • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务(云服务及系统策略栏)。

          说明

          系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等)。授权时,尽量避免授予不必要的高风险权限策略。

        • 自定义策略:由用户自主创建,策略的版本更新也由用户维护。用户可以自主创建、更新和删除自定义策略。关于如何创建自定义策略,请参见创建自定义权限策略

      4. 单击确认新增授权

    5. 单击关闭

    从授权页面发起

    1. 使用RAM管理员登录RAM控制台

    2. 在左侧导航栏,选择权限管理 > 授权

    3. 授权页面,单击新增授权

      image

    4. 新增授权面板,为RAM角色授权。

      1. 选择资源范围。

        • 账号级别:权限在当前阿里云账号内生效。

        • 资源组级别:权限在指定的资源组内生效。

          说明

          指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务

      2. 选择授权主体。

        授权主体即需要添加权限的RAM角色。支持批量选中多个RAM角色。

      3. 选择权限策略。

        权限策略是一组访问权限的集合。支持批量选中多条权限策略。

        • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务(云服务及系统策略栏)。

          说明

          系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等)。授权时,尽量避免授予不必要的高风险权限策略。

        • 自定义策略:由用户自主创建,策略的版本更新也由用户维护。用户可以自主创建、更新和删除自定义策略。关于如何创建自定义策略,请参见创建自定义权限策略

      4. 单击确认新增授权

    5. 单击关闭

    OpenAPI

    您可以调用接口AttachPolicyToRole为指定RAM角色添加权限,并传入参数:

    • PolicyType:要授予的权限策略类型:System代表系统策略,Custom代表自定义策略。大小写敏感

    • PolicyName:要授予的权限策略的准确名称。

    • RoleName:指定RAM角色名称。

    说明

    调用接口AttachPolicyToRole的授权范围为当前的阿里云账号,不支持资源组级别授权。如您希望在资源组级别对RAM角色进行授权,应调用资源组接口AttachPolicy - 为RAM身份授权

    查看RAM角色的权限

    建议为操作人员分配系统策略AliyunRAMReadOnlyAccess 权限。

    控制台

    1. 使用RAM管理员登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 角色

    3. 角色页面,单击目标RAM角色名称。

    4. 权限管理页签,查看角色被授予的权限策略。

    OpenAPI

    您可以调用接口ListPoliciesForRole查看指定RAM角色的权限策略,并传入参数:

    RoleName:指定RAM角色名称。

    为RAM角色移除权限

    建议为操作人员分配系统策略AliyunRAMFullAccess (RAM管理员)权限。

    控制台

    您可以使用多种方式移除RAM角色的权限。

    从角色页面发起

    1. 使用RAM管理员登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 角色

    3. 角色页面,单击目标RAM角色名称。

    4. 权限管理页签,单击目标权限策略操作列的解除授权

      您也可以选中多个权限策略,单击权限策略列表下方的解除授权,为RAM角色批量解除多个授权。

    5. 解除授权对话框,单击解除授权

    从授权页面发起

    1. 使用RAM管理员登录RAM控制台

    2. 在左侧导航栏,选择权限管理 > 授权

    3. 授权页面,单击目标RAM角色操作列的解除授权

      您也可以选中多个RAM角色,单击角色列表下方的解除授权,为多个RAM角色批量解除多个授权。

    4. 解除授权对话框,单击解除授权

    OpenAPI

    您可以调用接口DetachPolicyFromRole为指定RAM角色移除权限策略,并传入参数:

    • PolicyType:要移除的权限策略类型:System代表系统策略,Custom代表自定义策略。大小写敏感

    • PolicyName:要移除的权限策略的准确名称。

    • RoleName:指定RAM角色名称。