阿里云子账号简称 RAM 访问控制,可以帮助我们细化权限、多人协助等,极大的方便我们对阿里云上的业务进行细化管理,子用户可以给予对应的人或者应用使用。
使用场景
比如通过阿里云主账号创建云数据库RDS 后,您的组织里有多个用户需要使用云数据库RDS ,这些用户只能共享使用主账号AccessKey。这样就会产出不可控风险:
- 密钥由多人共享,泄露的风险很高。
- 无法控制特定用户可以对数据库进行哪些操作,例如扩容集群、重启集群等。aliyun.com
这时就可以通过 RAM 子账户进行管控,针对需要使用的人创建子账户,并授予子账号对应的权限。之后用户通过子账号访问或管理云数据库RDS。
子用户创建
1.登陆阿里云账户访问RAM控制台
2.在左侧导航栏的人员管理菜单下,单击用户,再单击创建用户。
3. 输入登录名称和显示名称。
4. 在访问方式区域下,勾选控制台访问或编程访问。
- 控制台访问:完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
说明
自定义登录密码时,密码必须满足您在人员管理>设置中设置的密码复杂度规则。关于如何设置密码复杂度规则。
- 编程访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。
说明
[su_quote]为了保障账号安全,建议仅为RAM用户选择一种登录方式,避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。[/su_quote]
RAM用户授权
RAM户授权后,RAM用户可以访问相应的阿里云资源了,接下来介绍如何为RAM用户授权的自定义权限策略。
操作步骤
1.使用阿里云账号登录RAM控制台。
2. 在左侧导航栏的人员管理,单击用户,找到需要授权的RAM用户,再单击添加权限。
3. 在弹出的添加权限窗口中,授权应用范围选择整个云账号,被授权主体为您的RAM用户登录名,选择权限先选择自定义权限,然后在下面的权限列表中单击您配置好的自定义权限策略(可参考文档:创建自定义权限策略),再单击确认即可完成授权。
4. 最后会出现授权账号及权限策略授权成功界面,单击完成即可。
阿里云子用户官方文档:什么是RAM访问控制