如何使用运用RAM优化轻量应用服务器的身份管理？

为了保障您的阿里云账户及云资源的安全性，我们强烈建议您避免直接使用阿里云主账户访问轻量应用服务器。最佳实践是利用RAM身份（包括RAM用户和RAM角色）来进行访问控制。

RAM用户

RAM用户需由阿里云账户或具有管理员权限的RAM用户或RAM角色创建，并在获得相应授权后才能登录控制台或使用API访问账户下的资源。以下是一些建议：

• 使用阿里云账户创建一个具有管理员权限的RAM用户，并通过此RAM用户来创建和管理其他RAM用户。
• 将人员用户和程序用户分开管理。
  • 在创建RAM用户时，可以选择控制台访问和OpenAPI调用访问两种访问方式。建议将这两种使用场景分开，以避免误操作影响服务。对于通过控制台访问的用户，建议启用MFA多因素认证。
• 根据需求为RAM用户分配最小权限。
  • 最小权限意味着仅授予执行特定任务所需的权限，避免不必要的权限分配。这有助于提高数据安全性，降低因权限滥用带来的风险。
• 避免将RAM用户的AccessKey ID和AccessKey Secret保存在工程代码中，以防泄露。建议采用STS或环境变量等方法获取访问授权。
• 如满足条件，可为RAM用户配置SSO单点登录功能，以便直接使用企业自有身份登录并访问阿里云资源。

相关操作

• RAM用户管理
• AK安全方案
• RAM用户SSO管理

RAM用户组

当您的阿里云账户中有多个RAM用户时，可以通过创建用户组来对职责相同的RAM用户进行分组管理和批量授权，从而更高效地管理RAM用户及其权限。

• 授权RAM用户组时遵循最小权限原则。
• 当RAM用户的职责发生变化时，及时将其从不再适用的用户组中移除。
• 如果某个用户组不再需要某些权限，则移除相应的权限。

相关操作

• RAM用户组管理

RAM角色

RAM角色是一种虚拟用户，可以被授予一组权限策略。与RAM用户不同的是，RAM角色没有永久的身份凭证，而是需要被一个可信实体扮演。扮演成功后，可信实体将获得RAM角色的临时身份凭证（即安全令牌STSToken），并以此身份访问被授权的资源。

• 创建RAM角色后，请勿随意更改其可信实体。修改可信实体可能会导致权限缺失或过度授权的风险。
• 可信实体的RAM用户在获得相关授权后，可以调用AssumeRole - 获取扮演角色的临时身份凭证接口获取RAM角色的STSToken。建议设置合理的Token有效期，以避免安全风险。
• 如满足条件，可为RAM角色配置SSO单点登录功能，以便直接使用企业自有身份登录并访问阿里云资源。

相关操作

• RAM角色管理
• 扮演RAM角色
• 设置RAM角色最大会话时间
• 角色SSO管理

身份管理相关文档

• 阿里云身份与权限
• RAM基本概念
• RAM相关使用限制