访问控制用户

用户，是 RAM 中用到的一种身份；它对应到某一个操作实体，如操作员或应用程序。如果有新的用户或应用程序需要访问您的云资源，您需要创建 RAM 用户并授权其访问相关资源。一般操作步骤如下：

1. 主账户（或拥有 RAM 操作权限的 RAM 用户）登录到 RAM 控制台。
2. 创建 RAM 用户，并将该用户 添加到一个或多个组。
3. 给用户（或其所属的组）添加一个或多个 授权策略。
4. 设置用户密钥。如果用户是通过控制台进行操作，则需为用户设置登录密码；如果用户是通过 API 进行调用，则需为用户创建 API 访问密钥（Access Key）。
5. 如果用户需要使用特权操作（如停止虚拟机），那么可以为用户设置多因素认证（MFA），并要求用户必须使用 MFA 口令才能登录到阿里云控制台。
6. 向用户提供登录 URL，用户名及其登录密码。

基本设置
设置 企业别名、[url=https://help.aliyun.com/document_detail/28647.html?spm=5176.doc28645.6.558.Co091N#设置 RAM 用户的密码策略]密码强度[/url] 及 子用户登录限制。
设置企业别名
操作步骤如下：

1. 登录到 RAM 控制台。
2. 依次选择 [backcolor=transparent]设置 > [backcolor=transparent]企业别名设置 > [backcolor=transparent]编辑企业别名。
3. 输入 [backcolor=transparent]企业别名，并单击 [backcolor=transparent]确定，完成设置。

设置 RAM 用户的密码策略
操作步骤如下：

1. 登录到 RAM 控制台。
2. 依次选择 [backcolor=transparent]设置 > [backcolor=transparent]密码强度设置。
3. 按照页面提示，配置密码长度、字符格式、有效期、重试约束策略等规则，完成后单击 [backcolor=transparent]保存修改，使规则生效。
   [backcolor=transparent]注意：一旦设置成功，该密码策略适用于所有 RAM 用户。

设置子用户安全限制

1. 登录到 RAM 控制台。
2. 依次选择 [backcolor=transparent]设置 > [backcolor=transparent]子用户安全设置。
3. 
   对于子用户，勾选是否:
   • 允许登录时保存 MFA 登录状态（保存7天）
   • 允许自主管理密码（重置）
   • 允许自主管理 AccessKey（创建、禁用、删除）
   • 允许自主管理多因素设备（启用、禁用）

完成后单击 [backcolor=transparent]保存修改，使设置生效。

创建 RAM 用户
操作步骤如下：

1. 登录到 RAM 控制台。
2. 依次选择 [backcolor=transparent]用户管理 > [backcolor=transparent]新建用户。
3. 按照页面提示，输入用户信息，完成后单击 [backcolor=transparent]确认，完成创建。

创建 RAM 用户后，需要根据使用需求为 RAM 用户 设置登录密码、 创建访问密钥 及 [url=https://help.aliyun.com/document_detail/28647.html?spm=5176.doc28645.6.558.Co091N#为用户设置 MFA]设置多因素认证设备（MFA）[/url]。
设置登录密码
为需要通过控制台进行操作的用户设置登录密码，操作步骤如下：

1. 登录到 RAM 控制台。
2. 在用户清单中找到需要设置登录密码的用户（可使用用户名进行模糊查询），单击其用户名或其操作列下的 [backcolor=transparent]管理，进入[backcolor=transparent]用户详情 页面。
3. 单击 [backcolor=transparent]启用控制台登录，在弹窗中为用户设置初始密码，并可以指定用户登录时必须更换密码。
   
   
4. 登录密码设置成功后，可以进一步设置 [backcolor=transparent]多因素认证、[backcolor=transparent]重置密码，及 [backcolor=transparent]关闭控制台登录。
   
   

创建访问密钥（AK）
用户的访问密钥 AccessKey 相当于登录密码，只是使用场景不同。AccessKey 用于程序方式调用云服务 API，登录密码用于登录控制台。如果用户不需要调用 API，那么就不需要创建 AccessKey。
创建 AccessKey 的操作步骤如下：

1. 登录到 RAM 控制台。
2. 在用户清单中找到需要创建 AccessKey 的用户（可使用用户名进行模糊查询），单击其用户名或其操作列下的 [backcolor=transparent]管理，进入 [backcolor=transparent]用户详情 页面。
3. 单击 [backcolor=transparent]创建 AccessKey，在弹窗中查看新建的 AccessKey 信息，并可选择 [backcolor=transparent]保存 AK 信息。
   
   

[backcolor=transparent]注意：

• 新创建的 AccessKey 只会在创建时显示，安全起见 RAM 并不提供查询接口，请您妥善保管。
• 如果 AccessKey 泄露或丢失，则需要创建新的 AccessKey。

为用户设置 MFA
多因素认证（Multi-Factor Authentication, MFA）是一种简单有效的最佳安全实践方法，它能够在用户名和密码之外再额外增加一层安全保护。启用 MFA 后，用户登录阿里云时，系统将要求输入用户名和密码（第一安全要素），然后要求输入来自其 MFA 设备的可变验证码（第二安全要素）。这些多重要素结合起来将为您的账户提供更高的安全保护。
虚拟 MFA 设备是产生一个 6 位数字验证码的应用程序，它遵循基于时间的一次性密码 (TOTP) 标准 （ RFC 6238）。此应用程序可在移动硬件设备上运行（例如智能手机）。
设置 MFA 的操作步骤如下：

1. 登录到 RAM 控制台。
2. 在用户清单中找到需要设置 MFA 的用户（可使用用户名进行模糊查询），单击其用户名或其操作列下的 [backcolor=transparent]管理，进入 [backcolor=transparent]用户详情 页面。
3. 单击 [backcolor=transparent]启用虚拟 MFA 设备，启动 绑定 MFA 设备 流程。
   
   

RAM 用户登录
RAM 用户不同于云账户，登录入口也是有所区别，RAM 用户不能通过云账户登录页面进行登录。
在 RAM 控制台的概览页中，您可以找到 RAM 用户登录链接：
RAM 用户可以通过该登录 URL 登录到阿里云控制台：
[backcolor=transparent]注意：RAM 用户默认是没有任何访问权限的。如果没有被授权，即使能登入控制台，但仍然无权做任何操作。了解如何给 RAM 用户授权，请参考 授权。