在对 RAM 用户进行授权时,你可以选择直接向具体 RAM 用户授权,也可以给用户所属的用户组授权,两种方法都可以达到授予 RAM 用户相关资源访问权限的目的。
背景知识
系统授权策略是 RAM 提供的一组通用授权策略,它可以满足用户的粗粒度授权需求。比如,授权某个 RAM 用户可以管理订单(AliyunBSSFullAccess),或管理 ECS 资源(AliyunECSFullAccess),或者管理所有子用户及其权限(AliyunRAMFullAccess),等等。
您可以在
RAM 授权策略管理 查看 RAM 所支持的所有系统授权策略。
如果这些授权策略不满足您的需要,您可以自定义粒度更精细的授权策略,具体请参考
创建自定义授权策略。
直接给 RAM 用户授权
通过 AttachPolicyToUser 直接给 RAM 用户授权。
操作步骤
- 登录到 阿里云 RAM 控制台。
- 点击左侧导航栏中的 [backcolor=transparent]用户管理。
- 选择需要授权的用户(可通过 [backcolor=transparent]登录名 进行搜索),并点击其用户菜单下的 [backcolor=transparent]授权 按钮,进入 [backcolor=transparent]编辑个人授权策略 页面。
也可以点击该用户名或其用户菜单下的 [backcolor=transparent]管理 按钮,进入 [backcolor=transparent]用户详情 页,并选择 [backcolor=transparent]用户授权策略 > [backcolor=transparent]编辑授权策略。
添加需要的授权策略(可按关键词进行搜索),并点击 [backcolor=transparent]确认。
- 从左侧 [backcolor=transparent]可选授权策略 下选择需要的策略,点击右向箭头(即授权)将其添加到 [backcolor=transparent]已选授权策略 中。
- 反之,通过左向箭头可将右侧 [backcolor=transparent]已选授权策略 取消。
至此,您已完成直接给 RAM 用户授权。
给用户所属的用户组授权
通过 AttachPolicyToGroup 来给用户所属用户组进行授权。
使用该方法时,需要保证待授权用户在待授权的用户组中。为此,需要先创建用户组,并将待授权用户添加到相应用户组。
操作步骤
- 登录到 阿里云 RAM 控制台。
- 点击左侧导航栏中的 [backcolor=transparent]群组管理。
- 点击 [backcolor=transparent]新建群组。
- 输入 [backcolor=transparent]组名称 和 [backcolor=transparent]备注,并点击 [backcolor=transparent]确认,完成群组创建。
创建群组后,可通过以下任意一种方式将用户添加到相应群组中:
- 在 [backcolor=transparent]群组管理 页面,选择对应群组菜单下 [backcolor=transparent]编辑组成员。
- 在 [backcolor=transparent]用户管理 页面,选择对应用户菜单下 [backcolor=transparent]加入组。
具体操作方法类似于 [url=https://help.aliyun.com/document_detail/28639.html?spm=5176.doc28640.6.552.KUFc7E#直接给 RAM 用户授权]直接给 RAM 用户授权[/url]- 步骤 4 中的 [backcolor=transparent]添加需要的授权策略。
用户添加到群组后,在 [backcolor=transparent]群组管理 页面,选择对应群组菜单下 [backcolor=transparent]授权 按钮。
添加需要的授权策略(可按关键词进行搜索),并点击 [backcolor=transparent]确认。
操作方法类似于 [url=https://help.aliyun.com/document_detail/28639.html?spm=5176.doc28640.6.552.KUFc7E#直接给 RAM 用户授权]直接给 RAM 用户授权[/url]- 步骤 4 中的 [backcolor=transparent]添加需要的授权策略。
至此,您已完成给用户所属用户组授权。
后续操作
- 对于直接授予 RAM 用户的权限,可前往 [backcolor=transparent]用户详情 > [backcolor=transparent]用户授权策略 下 [backcolor=transparent]查看权限 或 [backcolor=transparent]解除授权。
- 对于授予 RAM 用户所在用户组的权限,可前往 [backcolor=transparent]群组详情 > [backcolor=transparent]群粗授权策略管理 下,[backcolor=transparent]查看权限 或 [backcolor=transparent]解除授权。