阿里云子账号简称 RAM 访问控制,可以帮助我们细化权限、多人协助等,极大的方便我们对阿里云上的业务进行细化管理,子用户可以给予对应的人或者应用使用。

使用场景

比如通过阿里云主账号创建云数据库RDS 后,您的组织里有多个用户需要使用云数据库RDS ,这些用户只能共享使用主账号AccessKey。这样就会产出不可控风险:

  • 密钥由多人共享,泄露的风险很高。
  • 无法控制特定用户可以对数据库进行哪些操作,例如扩容集群、重启集群等。

这时就可以通过 RAM 子账户进行管控,针对需要使用的人创建子账户,并授予子账号对应的权限。之后用户通过子账号访问或管理云数据库RDS。

子用户创建

1.登陆阿里云账户访问RAM控制台

RAM 访问控制

2.在左侧导航栏的人员管理菜单下,单击用户,再单击创建用户

3. 输入登录名称显示名称

4. 在访问方式区域下,勾选控制台访问编程访问

  • 控制台访问:完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。

说明 

自定义登录密码时,密码必须满足您在人员管理>设置中设置的密码复杂度规则。关于如何设置密码复杂度规则。

  • 编程访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。

说明 

[su_quote]为了保障账号安全,建议仅为RAM用户选择一种登录方式,避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。[/su_quote]

RAM用户授权

RAM户授权后,RAM用户可以访问相应的阿里云资源了,接下来介绍如何为RAM用户授权的自定义权限策略。

操作步骤

1.使用阿里云账号登录RAM控制台

2. 在左侧导航栏的人员管理,单击用户,找到需要授权的RAM用户,再单击添加权限

3. 在弹出的添加权限窗口中,授权应用范围选择整个云账号被授权主体为您的RAM用户登录名,选择权限先选择自定义权限,然后在下面的权限列表中单击您配置好的自定义权限策略(可参考文档:创建自定义权限策略),再单击确认即可完成授权。

4. 最后会出现授权账号及权限策略授权成功界面,单击完成即可。

阿里云子用户官方文档:什么是RAM访问控制