开发者社区> 问答> 正文

访问控制用户

用户,是 RAM 中用到的一种身份;它对应到某一个操作实体,如操作员或应用程序。如果有新的用户或应用程序需要访问您的云资源,您需要创建 RAM 用户并授权其访问相关资源。一般操作步骤如下:

  1. 主账户(或拥有 RAM 操作权限的 RAM 用户)登录到 RAM 控制台
  2. 创建 RAM 用户,并将该用户 添加到一个或多个组
  3. 给用户(或其所属的组)添加一个或多个 授权策略
  4. 设置用户密钥。如果用户是通过控制台进行操作,则需为用户设置登录密码;如果用户是通过 API 进行调用,则需为用户创建 API 访问密钥(Access Key)。
  5. 如果用户需要使用特权操作(如停止虚拟机),那么可以为用户设置多因素认证(MFA),并要求用户必须使用 MFA 口令才能登录到阿里云控制台。
  6. 向用户提供登录 URL,用户名及其登录密码。

基本设置
设置 企业别名、[url=https://help.aliyun.com/document_detail/28647.html?spm=5176.doc28645.6.558.Co091N#设置 RAM 用户的密码策略]密码强度[/url] 及 子用户登录限制
设置企业别名
操作步骤如下:
  1. 登录到 RAM 控制台
  2. 依次选择 [backcolor=transparent]设置 > [backcolor=transparent]企业别名设置 > [backcolor=transparent]编辑企业别名。
  3. 输入 [backcolor=transparent]企业别名,并单击 [backcolor=transparent]确定,完成设置。

设置 RAM 用户的密码策略
操作步骤如下:
  1. 登录到 RAM 控制台
  2. 依次选择 [backcolor=transparent]设置 > [backcolor=transparent]密码强度设置。
  3. 按照页面提示,配置密码长度、字符格式、有效期、重试约束策略等规则,完成后单击 [backcolor=transparent]保存修改,使规则生效。
    [backcolor=transparent]注意:一旦设置成功,该密码策略适用于所有 RAM 用户。

设置子用户安全限制
  1. 登录到 RAM 控制台
  2. 依次选择 [backcolor=transparent]设置 > [backcolor=transparent]子用户安全设置。

  3. 对于子用户,勾选是否:
    • 允许登录时保存 MFA 登录状态(保存7天)
    • 允许自主管理密码(重置)
    • 允许自主管理 AccessKey(创建、禁用、删除)
    • 允许自主管理多因素设备(启用、禁用)

  • 完成后单击 [backcolor=transparent]保存修改,使设置生效。

  • 创建 RAM 用户
    操作步骤如下:
    1. 登录到 RAM 控制台
    2. 依次选择 [backcolor=transparent]用户管理 > [backcolor=transparent]新建用户。
    3. 按照页面提示,输入用户信息,完成后单击 [backcolor=transparent]确认,完成创建。

    创建 RAM 用户后,需要根据使用需求为 RAM 用户 设置登录密码创建访问密钥 及 [url=https://help.aliyun.com/document_detail/28647.html?spm=5176.doc28645.6.558.Co091N#为用户设置 MFA]设置多因素认证设备(MFA)[/url]。
    设置登录密码
    为需要通过控制台进行操作的用户设置登录密码,操作步骤如下:
    1. 登录到 RAM 控制台
    2. 在用户清单中找到需要设置登录密码的用户(可使用用户名进行模糊查询),单击其用户名或其操作列下的 [backcolor=transparent]管理,进入[backcolor=transparent]用户详情 页面。
    3. 单击 [backcolor=transparent]启用控制台登录,在弹窗中为用户设置初始密码,并可以指定用户登录时必须更换密码。
    4. 登录密码设置成功后,可以进一步设置 [backcolor=transparent]多因素认证、[backcolor=transparent]重置密码,及 [backcolor=transparent]关闭控制台登录。


    创建访问密钥(AK)
    用户的访问密钥 AccessKey 相当于登录密码,只是使用场景不同。AccessKey 用于程序方式调用云服务 API,登录密码用于登录控制台。如果用户不需要调用 API,那么就不需要创建 AccessKey。
    创建 AccessKey 的操作步骤如下:
    1. 登录到 RAM 控制台
    2. 在用户清单中找到需要创建 AccessKey 的用户(可使用用户名进行模糊查询),单击其用户名或其操作列下的 [backcolor=transparent]管理,进入 [backcolor=transparent]用户详情 页面。
    3. 单击 [backcolor=transparent]创建 AccessKey,在弹窗中查看新建的 AccessKey 信息,并可选择 [backcolor=transparent]保存 AK 信息。

    [backcolor=transparent]注意:
    • 新创建的 AccessKey 只会在创建时显示,安全起见 RAM 并不提供查询接口,请您妥善保管。
    • 如果 AccessKey 泄露或丢失,则需要创建新的 AccessKey。


    为用户设置 MFA
    多因素认证(Multi-Factor Authentication, MFA)是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户登录阿里云时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自其 MFA 设备的可变验证码(第二安全要素)。这些多重要素结合起来将为您的账户提供更高的安全保护。
    虚拟 MFA 设备是产生一个 6 位数字验证码的应用程序,它遵循基于时间的一次性密码 (TOTP) 标准 ( RFC 6238)。此应用程序可在移动硬件设备上运行(例如智能手机)。
    设置 MFA 的操作步骤如下:
    1. 登录到 RAM 控制台
    2. 在用户清单中找到需要设置 MFA 的用户(可使用用户名进行模糊查询),单击其用户名或其操作列下的 [backcolor=transparent]管理,进入 [backcolor=transparent]用户详情 页面。
    3. 单击 [backcolor=transparent]启用虚拟 MFA 设备,启动 绑定 MFA 设备 流程。


    RAM 用户登录
    RAM 用户不同于云账户,登录入口也是有所区别,RAM 用户不能通过云账户登录页面进行登录。
    在 RAM 控制台的概览页中,您可以找到 RAM 用户登录链接:

    RAM 用户可以通过该登录 URL 登录到阿里云控制台:

    [backcolor=transparent]注意:RAM 用户默认是没有任何访问权限的。如果没有被授权,即使能登入控制台,但仍然无权做任何操作。了解如何给 RAM 用户授权,请参考 授权

    展开
    收起
    反向一觉 2017-10-31 14:37:27 2815 0
    0 条回答
    写回答
    取消 提交回答
    问答排行榜
    最热
    最新

    相关电子书

    更多
    从身份开始的零信任基础 立即下载
    《云防火墙实现多账号统一管控》 立即下载
    安全机制与User账户身份验证实战 立即下载