什么是RAM用户

RAM用户即RAM账号，是RAM的一种实体身份类型。您可以为阿里云账号（主账号）创建RAM用户并为其授权，实现不同RAM用户拥有不同资源访问权限的目的。当您的企业存在多用户协同访问资源的场景时，您可以创建多个RAM用户并按需为其分配最小权限，避免多用户共享阿里云账号（主账号）密码或访问密钥（AccessKey），从而降低企业的安全风险。

RAM用户是RAM的一种实体身份类型，有确定的身份ID和身份凭证，它通常与某个确定的人或应用程序一一对应。RAM用户具备以下特点：

RAM用户由阿里云账号（主账号）或具有管理员权限的其他RAM用户、RAM角色创建，创建成功后，归属于该阿里云账号，它不是独立的阿里云账号。
RAM用户不拥有资源，不能独立计量计费，由所属的阿里云账号统一付费。
RAM用户必须在获得授权后，才能登录控制台或使用API访问阿里云账号下的资源。
RAM用户拥有独立的登录密码或AccessKey。
一个阿里云账号下可以创建多个RAM用户，对应企业内的员工、系统或应用程序。

RAM用户类型

按照RAM用户的创建途径，RAM用户分为以下几种：

手动创建：在RAM中创建的RAM用户。更多信息，请参见创建RAM用户。
云SSO同步：通过云SSO的RAM用户同步功能创建的RAM用户。该类型的RAM用户必须通过云SSO登录，不能直接通过RAM用户名密码登录。RAM用户同步任务删除后，才能手动删除保留的RAM用户。更多信息，请参见配置RAM用户同步。

使用流程

使用阿里云账号（主账号）或RAM管理员登录RAM控制台。
创建RAM用户。
具体操作，请参见创建RAM用户。
设置登录参数。
虽然您可以为RAM用户同时设置控制台登录密码和API调用的AccessKey，但出于安全的考虑，建议您针对不同用途的RAM用户仅设置一种登录方式。例如：如果RAM用户代表的是应用程序，则需要通过API访问资源，您只需给它创建AccessKey。如果RAM用户代表的是员工，则需要通过控制台访问资源，您只需给它设置登录密码。具体设置方法如下：
- 控制台登录
  您需要启用RAM用户控制台登录、设置RAM用户密码强度、设置或修改登录密码、按需启用多因素认证（MFA）。具体操作，请参见管理RAM用户登录设置、设置RAM用户密码强度、修改RAM用户登录密码和为RAM用户绑定多因素认证设备。
  说明
  如果您启用了用户SSO，则可以不开启控制台登录，用户也能通过SSO方式登录到阿里云控制台。更多信息，请参见用户SSO概览。
- API调用
  您需要为RAM用户创建AccessKey。具体操作，请参见创建AccessKey。
为RAM用户授权。
为不同的RAM用户授予不同的资源访问权限。具体操作，请参见为RAM用户授权。
使用RAM用户登录控制台或使用AccessKey调用API。
更多信息，请参见RAM用户登录阿里云控制台和使用OpenAPI。

最佳实践

当企业拥有多种云资源时，使用RAM的身份管理与权限管理功能，实现用户分权及资源统一管理。更多信息，请参见用户管理与分权。

使用限制

关于RAM用户的使用限制，请参见使用限制。