主子账号如何查看？

RAM 介绍

RAM 是阿里云提供的用户身份管理与访问控制服务。使用 RAM 可以创建、管理用户账号（比如员工、系统或应用程序），并控制这些用户账号对云账户名下资源的操作权限。当企业或者组织存在多用户协同操作资源时，RAM 可以避免云账号秘钥大范围传播，按需分配最小权限，从而降低企业信息安全管理风险。详细信息请参考 RAM 产品文档。

RAM 基本概念

云账户

云账户是阿里云资源归属、资源使用计量计费的基本主体。使用阿里云服务，首先需要注册一个云账户。云账户为其名下所拥有的资源付费，并对其名下所有资源拥有完全权限。

RAM 用户

在一个云账户下创建的 RAM 用户(可以对应企业内的员工、系统或应用程序)。RAM 用户不拥有资源，没有独立的计量计费，这些用户由所属云账户统一控制和付费。RAM 用户只有在获得云账户的授权后才能登录控制台或使用 API 操作云账户下的资源。

身份凭证( Credential )

用于证明用户真实身份的凭据，通常是指登录密码或访问密钥(AccessKey)。

登录名/密码( Password )：用于登陆阿里云控制台进行资源操作，以便查看订单、账单或购买资源。
访问密钥( AccessKey )：用于构造一个 API 请求(或者使用云服务 SDK )并操作资源。
角色( Role )

是一种虚拟身份或影子账号，表示某种操作权限的虚拟概念，有独立的身份 ID，但是没有独立的登录密码和 AccessKey。子账号可以扮演角色，扮演角色时拥有该角色自身的权限。

资源( Resource )

代表用户可访问的云资源，比如该用户所拥有的 DRDS 实例，或者某个 DRDS 实例下面的某个数据库等。

权限( Permission )

允许或拒绝一个用户对某种资源执行资源管控或者使用类操作。

授权策略( Policy )

用于定义权限规则，比如允许用户读取或者写入某些资源。

角色扮演

子账号和角色可以类比为某个个人和其身份的关系。某人在公司的角色是员工，在家里的角色是父亲，在不同的场景扮演不同的角色，但是还是同一个人。在扮演不同的角色的时候也就拥有对应角色的权限。单独的员工或者父亲概念并不能作为一个操作的实体，只有有人扮演了之后才是一个完整的概念。同一个角色也可以被多个不同的个人同时扮演。完成角色扮演之后，就自动拥有该角色的所有权限。

DRDS 的 RAM 应用场景示例

假设某阿里云用户 Alice 拥有两个 DRDS 个实例，DRDS_a 和 DRDS_b。 Alice 对这两个实例都拥有完全的权限。

为了避免阿里云账号的 AccessKey 泄露导致安全风险，Alice 使用 RAM 创建了两个子账号 Bob 和 Carol。
Alice 建立了两个授权策略，access_drds_a 和 access_drds_b，分别表示 DRDS_a 和 DRDS_b 的读写权限。
Alice 在控制台分别对 Bob 和 Carol 进行授权，使 Bob 对 DRDS_a 拥有读写权限，Carol 对 DRDS_b 拥有读写权限。
Bob 和 Carol 都拥有独立的 AccessKey，这样万一泄露也只会影响其中一个 DRDS 实例，而且 Alice 可以很方便的在控制台取消泄露用户的权限。