一、创建子账号
通过阿里云主账号登录控制台,进入访问控制(RAM)模块,在用户管理页面点击“创建用户”。创建时需填写用户名,选择“控制台密码登录”或编程访问方式,建议开启多因素认证(MFA)提升安全性。
完成创建后,系统将自动生成AccessKey ID和AccessKey Secret,需及时下载保存。首次登录的子账号需按提示修改初始密码。
二、分配权限策略
阿里云提供三种权限配置方式:
- 系统策略:通过搜索策略名称(如
AliyunECSFullAccess)快速授予全量服务权限 - 自定义策略:通过JSON策略语言,按标签或资源粒度精细化授权,例如仅允许操作特定标签的ECS实例
- 用户组继承:将子账号加入已配置权限的用户组,实现批量管理
用户详情页 → 添加权限 → 选择策略类型 → 确认授权
三、权限验证与测试
完成授权后,建议通过以下步骤验证:
- 使用子账号登录控制台,检查目标服务(如ECS、OSS)是否可见
- 尝试执行典型操作(如创建实例、删除文件)以验证权限边界
- 通过策略模拟器检测特定操作是否被允许
四、权限管理建议
为保障账号安全,建议遵循以下原则:
- 实施最小权限原则,避免授予不必要的
*FullAccess策略 - 定期审计子账号权限,及时撤销闲置授权
- 通过字段级授权限制敏感数据(如成本信息)的可见性
通过RAM服务实现子账号权限的精细化管控,既能满足团队协作需求,又能有效降低安全风险。建议结合系统策略与自定义策略,配合定期审计机制,构建动态权限管理体系。
