背景信息

RAM允许在一个云账户（主账户）下创建并管理多个RAM用户，并允许给单个RAM用户分配不同的授权策略，从而实现不同RAM用户拥有不同的云资源访问权限。使用RAM还可以让您避免与其他用户共享云账号密钥（AccessKey），按需为用户分配最小权限，从而降低您的企业信息安全风险。更多关于RAM，参见什么是RAM与权限与授权策略。

使用RAM进行用户权限管理，您需要先创建RAM用户或用户组，然后给该RAM用户或用户组分配不同的授权策略。

创建RAM用户

请按照如下步骤创建RAM用户。

1. 云账号登录RAM控制台。
2. 在左侧导航栏的人员管理菜单下，单击用户。
3. 单击新建用户。
   说明 单击添加用户，可一次性创建多个RAM用户。
4. 输入登录名称和显示名称。
5. 在访问方式区域下，选择控制台密码登录或编程访问。
   • 控制台密码登录：完成对登录安全的基本设置，包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
   • 编程访问：自动为RAM用户生成访问密钥（AccessKey），支持通过API或其他开发工具访问阿里云。
   说明 为了保障账号安全，建议仅为RAM用户选择一种登录方式，避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。
6. 单击确认。

创建用户组

如果您需要创建多个RAM用户，您可以选择通过创建用户组对职责相同的RAM用户进行分类并授权，从而更方便地管理用户及其权限。

1. 云账号登录RAM控制台。
2. 在左侧导航栏的人员管理菜单下，单击用户组。
3. 单击新建用户组。
4. 输入用户组名称、显示名称和备注。
5. 单击确认。
6. 单击关闭。

为RAM用户、用户组分配授权策略

新建的RAM用户、用户组默认没有任何操作权限，只有在被授权策略之后，才能通过控制台和API操作资源。

您可以在RAM控制台为RAM用户、用户组授权这两个策略。

1. 云账号登录RAM控制台。
2. 在左侧导航栏的权限管理菜单下，单击授权。
3. 单击新增授权。
4. 在被授权主体区域下，输入目标授权主体名称后，单击需要授权的主体。
   说明 输入RAM用户、用户组或RAM角色名称可以进行模糊搜索。
5. 在左侧权限策略名称列表下，单击需要授予目标主体的权限策略。这里以添加AliyunHbrFullAccess：赋予子账号混合云备份的所有使用权限 和AliyunHbrReadOnlyAccess：赋予子账号混合云备份控制台的读权限为例。
   
   
   说明 在右侧区域框，选择某条策略并单击×，可撤销该策略。
6. 单击确定。
7. 单击完成。