服务器知识:阿里云服务器创建RAM用户的方法
在阿里云服务器维护过程中,创建RAM用户是必须要有的,尤其是公司有多名运维人员的时候。在阿里云服务器控制台里面的RAM控制台中可以设置RAM用户的登录密码以RAM用户安全策略。
一、RAM的初始设置
(一)设置账号别名
为云账号设置一个RAM账号别名,能让RAM用户更容易记住登录入口。由于安全原因,RAM用户的登录入口不同于主账号的登录入口。RAM用户登录时,需要提供主账号的RAM账号别名、RAM用户名和RAM用户登录密码。
1、登录RAM控制台。
2、单击人员管理 —> 设置 —> 高级设置。
3、在域名管理页签下,单击更新。
4、进入编辑页面,输入账号别名,点击确定。
(二)设置RAM用户的登录密码强度
在RAM中,可以统一指定所有RAM用户的密码登录强度,那么在用户重置密码时将要求不得低于设置的密码强度。
1、登录RAM控制台。
2、单击人员管理 —> 设置。
3、在安全设置页面的密码强度设置区域,单击编辑密码规则。
4、自定义密码规则并单击确定。
(三)设置RAM用户安全策略
在RAM中,可以指定RAM用户必须设置多因素认证(MFA)。一旦设置 MFA,还可以统一指定是否允许登录时在其登录设备上保存MFA登录状态(保存 7 天)。此外,您可以进一步指定是否允许子用户自主管理密码、AccessKey及多因素认证设备。
1、登录RAM控制台。
2、单击人员管理 —> 设置。
3、在安全设置页面的用户安全设置区域,单击修改RAM用户安全设置。
4、自定义安全设置并单击确定。
二、创建RAM用户
在创建RAM用户前,要确保已完成RAM的初始设置。
(一)执行以下步骤创建RAM用户
1、登录RAM控制台。
2、单击人员管理 —> 用户 —> 新建用户。
3、按照页面提示,输入登录名称和显示名称。单击添加用户,可一次性创建多个用户。
4、选择用户的访问方式为控制台密码登录或编程访问。
(二)说明建议仅为用户选定一种登录方式。
1、若访问方式选择控制台密码登录:可同时完成对登录安全的基本设置。包括自动生成或自定义登录密码、是否要求登录时重置密码,以及是否要求开启多因素认证。
2、若访问方式选择编程访问:将会自动为用户创建 AccessKey(API 访问密钥)。
(三)说明
1、AccessKeySecret 只会在AK创建时提供查看或下载,为了安全考虑后续不会提供AccessKeySecret 的再次查看或下载功能。
2、如果AK丢失,只能重新创建AK。新创建的AK与原来的AK都是代表相同的用户身份,同一个RAM用户的不同AK在使用上是完全等效的。
3、建议为应用程序周期性更换AK,避免因为AK泄露导致风险。
(四)对于已创建的RAM用户,在正常使用前,需根据其职责对其进行访问资源授权。
1、给RAM用户授权,请参照RAM 用户授权 。
2、创建粒度精细的自定义策略,请参照创建自定义策略。
三、创建 RAM 用户组
创建RAM用户组的操作步骤
1、登录RAM控制台。
2、单击人员管理 —> 用户组 —> 新建用户组。
3、输入用户组名称、显示名称和备注,单击确定
四、创建自定义策略
阿里云提供了多种系统权限策略可供用户选择使用。这些权限策略仅仅提供了粗粒度的访问控制能力,比如某个云产品级别的只读权限或所有权限。
如果有更细粒度的授权需求,比如授权用户bob只能对 oss://samplebucket/bob/ 下的所有对象执行只读操作,而且限制 IP 来源必须为公司网络(可以通过搜索引擎查询“我的 IP”来获知您的公司网络 IP 地址),那么可以通过创建自定义策略来进行访问控制。
(一)前提条件
在创建自定义策略时,需要了解权限策略语言的基本结构和语法,请参考 语法结构。
RAM 最细可以支持各产品 API 粒度的授权,即权限策略中的操作权限可以精细到每个API操作。在创建自定义策略前,需要了解有关产品所支持的授权粒度和授权方法,具体请参考支持RAM的云服务。
(二)操作步骤
1、登录RAM控制台。
2、单击权限管理 —> 权限策略管理。
在权限策略管理页面,可通过单击策略类型下拉页签中的系统策略和自定义策略,分别查看已有的权限策略。其中系统策略只允许查看,不允许修改;自定义策略可以很方便的满足您的自定义需求。
3、单击新建权限策略。
4、填写策略名称和备注。
5、配置模式选择可视化配置或脚本配置。
①若选择可视化配置:单击添加授权语句,根据界面提示,对权限效力、操作名称、资源等进行配置。
②若选择脚本配置,请参考语法结构进行编辑。
(三)后续操作
只需将本文创建的策略授权给用户 bob,则 bob 会拥有对 oss://samplebucket/bob/ 下的对象的只读操作权限,且限制条件是必须从公司网络(假设为121.0.27.1)进行访问。
五、为RAM用户授权
为RAM用户授权有两种方法:直接为RAM用户授权或为用户所属的用户组授权,这两种方法均可达到授予RAM用户相关资源访问权限的目的。
(一)背景知识
系统策略是RAM提供的一组通用权限策略,可满足粗粒度授权需求。比如,授权某个RAM用户管理订单(AliyunBSSFullAccess),管理ECS资源(AliyunECSFullAccess),或管理所有子用户及其权限(AliyunRAMFullAccess)。
可以在权限策略概述查看RAM支持的所有系统策略。
若这些权限策略均无法满足需求,可以自定义粒度更精细的权限策略,具体请参考创建自定义策略。
(二)直接为RAM用户授权
通过AttachPolicyToUser直接为RAM用户授权。
1、登录RAM控制台。
2、单击人员管理 —> 用户。
3、通过用户登录名称/显示名称找到需要授权的用户,单击添加权限。
①从左侧权限策略名称列中勾选需要授予当前用户的权限策略,该权限策略会被添加到右侧区域框中。(可使用关键字查询权限策略名称)
②在右侧区域框,选择某条策略并单击 ×,可撤销该策略。
(三)为用户所属的用户组授权
通过AttachPolicyToGroup为用户所属的用户组授权。要确保待授权用户已经在待授权用户组中。
1、登录RAM控制台。
2、单击人员管理 —> 用户组。
3、通过用户组名称/显示名称找到需要授权的用户组,单击添加权限 。
①从左侧权限策略名称列中勾选需要授予当前用户的权限策略,该权限策略会被添加到右侧区域框中。说明:可使用关键字查询权限策略名称。
②在右侧区域框,选择某条策略并单击 ×,可撤销该策略。
4、单击确认,完成给用户组授权。
(四)后续操作
1、对于直接授予RAM用户的权限,可单击用户登录名称/显示名称后,在权限管理界面的个人权限页签查看权限或移除权限。
2、对于授予RAM用户所属用户组的权限,可单击用户组名称/显示名称后,在权限管理界面的查看权限或移除权限。
六、RAM 用户登录控制台
RAM 用户和云账号有不同的登录入口。
(一)登录入口
RAM 用户的登录入口如下:https://signin.aliyun.com/login.htm (也可通过登录RAM控制台在概览子页查询登录链接)。
(二)登录信息
RAM 用户登录时需提供RAM用户登录名和登录密码。RAM用户登录名格式可以为:<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。
其中,账号别名的设置请参考RAM初始设置。若没有设置账号别名,默认的账号别名就是阿里云账号 ID(可在人员管理 —> 设置 —> 高级设置 —> 域名管理 —> 默认域名下查询)。
七、业务限制
| 限制项 |
限制值 |
| 用户总数 |
100 |
| 组总数 |
50 |
| 每个用户可加入的组数 |
5 |
| 每个用户可创建的 AccessKey 个数 |
2 |
| 每个用户可绑定的 MFA 个数 |
1 |
| 虚拟 MFA 设备数 |
100 |
| 自定义授权策略数 |
200 |
| 自定义授权策略版本数 |
5 |
| 单个用户绑定自定义策略数上限 |
5 |
| 单个分组绑定自定义策略数上限 |
5 |
| 单个用户绑定系统策略数上限 |
20 |
| 单个分组绑定系统策略数上限 |
20 |
| 用户名的字符数 |
64 |
| 组名的字符数 |
64 |
| 授权策略名称的字符数 |
128 |
| 角色名称的字符数 |
64 |
| 角色数 |
100 |
| 别名的字符数 |
3-64 |
| 自定义授权策略的字符数 |
2048 |
以上就是本章全部内容,欢迎关注三掌柜的微信公众号、微博,欢迎关注!
三掌柜的微信公众号:
三掌柜的新浪微博:
