一、多用户账号创建与基础配置
在阿里云服务器中,可通过RAM(资源访问管理)服务创建多用户体系。主账号登录控制台后,进入「访问控制」模块创建RAM用户,需设置用户名、密码及访问方式(控制台/API)。建议为每个用户单独配置访问凭证,避免共享账号带来的安全隐患。
命令行创建用户示例:
sudo useradd -r username # 创建无登录权限用户
sudo usermod -aG groupname username # 添加用户组二、权限分配策略与角色管理
阿里云提供三种权限配置方式:
- 预置策略:如只读访问(AliyunECSReadOnlyAccess)
- 自定义策略:通过JSON语法定义细粒度权限
- 角色委托:跨账号或服务间临时授权
建议采用「用户组-策略」的层级管理模式,将相同职能的用户归类至组,批量分配权限策略。例如开发组可关联ECSFullAccess策略,运维组关联OOSFullAccess策略。
三、安全配置与访问控制
关键安全措施包括:
- 禁用root远程登录:修改
/etc/ssh/sshd_config设置PermitRootLogin no - 限制sudo权限:通过
/etc/sudoers文件精确控制可执行命令 - 启用操作审计:使用ActionTrail记录所有RAM用户操作
共享目录权限设置示例:
sudo mkdir /shared
sudo chown user:group /shared
sudo chmod 770 /shared四、最佳实践与维护建议
建议遵循以下原则进行权限管理:
- 最小权限原则:仅授予完成工作所需的最低权限
- 定期审查机制:每季度清理闲置账号与过期权限
- 多因素认证:为高危操作启用MFA验证
