背景信息

出于安全考虑，您可以为阿里云账号（主账号）创建 RAM 用户（子账号），并根据需要为这些子账号赋予不同的权限，这样就能在不暴露主账号密钥的情况下，实现让子账号各司其职的目的。在本文中，假设企业 A 希望让部分员工处理日常运维工作，则企业 A 可以创建 RAM 用户，并为 RAM 用户赋予相应权限，此后员工即可使用这些 RAM 用户登录控制台或调用 API 。

Web+提供的系统权限策略包括：

• WebPlusFullAccess：Web+的完整权限。
• WebPlusReadOnlyAccess：Web+的只读权限。

前提条件

• 开通Web+服务
• 开通访问控制RAM

步骤一：创建 RAM 用户

首先需要使用阿里云账号（主账号）登录 RAM 控制台并创建 RAM 用户。

1. 登录 RAM 控制台，在左侧导航栏中选择人员管理 > 用户，并在用户页面上单击新建用户。
2. 在新建用户页面的用户账号信息区域框中，输入登录名称和显示名称。
   说明 登录名称中允许使用小写英文字母、数字、“.”、“_”和“-”，长度不超过 128 个字符。显示名称不可超过 24 个字符或汉字。
3. （可选）如需一次创建多个用户，则单击添加用户，并重复上一步。
4. 在访问方式区域框中，勾选控制台密码登录或编程访问，并单击确定。
   说明 为提高安全性，请仅勾选一种访问方式。
   • 如果勾选控制台密码登录，则完成进一步设置，包括自动生成默认密码或自定义登录密码、登录时是否要求重置密码，以及是否开启 MFA 多因素认证。
   • 如果勾选编程访问，则 RAM 会自动为 RAM 用户创建 AccessKey（API 访问密钥）。
     注意 出于安全考虑，RAM 控制台只提供一次查看或下载 AccessKeySecret 的机会，即创建 AccessKey 时，因此请务必将 AccessKeySecret 记录到安全的地方。
5. 在手机验证对话框中单击获取验证码，并输入收到的手机验证码，然后单击确定。创建的 RAM 用户显示在用户页面上。

步骤二：为 RAM 用户添加权限

在使用 RAM 用户之前，需要为其添加相应权限。

1. 在 RAM 控制台左侧导航栏中选择人员管理 > 用户。
2. 在用户页面上找到需要授权的用户，单击操作列中的添加权限。
3. 在添加权限面板的选择权限区域框中，通过关键字搜索需要添加的权限策略 ，并单击权限策略将其添加至右侧的已选择列表中，然后单击确定。
   说明 可添加的权限参见背景信息部分。
4. 在添加权限的授权结果页面上，查看授权信息摘要，并单击完成。

后续步骤

使用阿里云账号（主账号）创建好 RAM 用户后，即可将 RAM 用户的登录名称及密码或者 AccessKey 信息分发给其他用户。其他用户可以按照以下步骤使用 RAM 用户登录控制台或调用 API。

• 登录控制台
  1. 在浏览器中打开 RAM 用户登录入口 https://signin.aliyun.com/login.htm。
  2. 在 RAM 用户登录页面上，输入 RAM 用户登录名称，单击下一步，并输入 RAM 用户密码，然后单击登录。
     说明 RAM 用户登录名称的格式为 <$username>@<$AccountAlias> 或 <$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias> 为账号别名，如果没有设置账号别名，则默认值为阿里云账号（主账号）的 ID。
  3. 在子用户用户中心页面上单击有权限的产品，即可访问控制台。
• 使用 RAM 用户的 AccessKey 调用 API

  在代码中使用 RAM 用户的 AccessKeyId 和 AccessKeySecret 即可。

更多信息

• 什么是 RAM
• 相关术语
• RAM 用户登录控制台