<p class="shortdesc">本文介绍企业如何通过访问控制RAM，实现用户管理与权限配置。</p> <section class="section" id="bestpractices0001__section_cz3_kfk_flb"><h2 class="doc-tairway">背景信息</h2><p class="p">F企业项目上云，开通一个主账号并购买了多种云服务，项目里有多个员工需要对这些云资源进行不同操作，如采购、运维等，工作范围不一致，所需权限不同。出于对企业部署云业务安全的考虑，F不希望将主账号密码直接透露给员工，可通过RAM给员工开通子账号，并对不同员工授予不同权限，或建立用户群组并为用户群组绑定相关的访问策略，然后将子账号加入到组中统一管理。例如，用户A不具有访问云主机ECS1、ECS2、ECS3的权限，群组A具有访问云主机ECS1的权限，群组B具有访问云主机ECS2的权限。如果将用户A加入群组A和群组B，使其具有访问云主机ECS1和ECS2的权限。所有子用户（子账号）购买产生的费用由主账户承担，主账户可随时更改子用户的权限或删除子用户。</p><img class="image" id="bestpractices0001__image_lt2_g4x_kmb" src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20222608161945-1f716c92902d.png" width="800"></section> <section class="section" id="bestpractices0001__section_imq_kfk_flb"><h2 class="doc-tairway">需求分析</h2> <ul class="ul" id="bestpractices0001__ul_vds_g4x_kmb"> <li class="li">杜绝多员工共享主账号，防止主账号密码或Access Key泄露导致风险不可控。</li> <li class="li">给不同员工分配独立的用户账号并独立分配权限，做到责权一致。 </li> <li class="li">不需要分别核算每个操作人员的成本，所发生费用统一计入主账号账单。</li> </ul> </section> <section class="section" id="bestpractices0001__section_hh5_kfk_flb"><h2 class="doc-tairway">实现步骤</h2> <ol class="ol" id="bestpractices0001__ol_qbn_nfk_flb"> <li class="li">创建RAM子账号。您需要为每一个用户创建一个子账号。请参见<a class="xref" href="/ssr/help/manage/ram/manual.usermgt.creatlogin.creatuser" target="_blank" rel="external noopener">创建子账号</a>。</li> <li class="li">创建群组。您可以将具有相同职责的子账号加入到对应的群组中，可以对职责相同的子账号进行分类并授权，从而更好的管理子账号及其权限。请参见<a class="xref" href="/ssr/help/manage/ram/manual.groupmgt.creategroup" target="_blank" rel="external noopener">创建群组</a>和<a class="xref" href="/ssr/help/manage/ram/manual.groupmgt.addmb" target="_blank" rel="external noopener">为群组添加成员</a>。</li> <li class="li">创建自定义策略。如果需要更加细粒度的授权，您可以自定义授权策略。请参见<a class="xref" href="https://www.ocftcloud.com/ssr/help/manage/ram/manual.policymgt.custom.createpolicy" target="_blank" rel="external noopener">创建自定义策略</a>。</li> <li class="li">为不同的用户或群组授予不同的权限策略。请参见<a class="xref" href="/ssr/help/manage/ram/manual.usermgt.creatlogin.Authorization" target="_blank" rel="external noopener">为子账号授权</a>和<a class="xref" href="/ssr/help/manage/ram/manual.groupmgt.Authorization2" target="_blank" rel="external noopener">为群组授权</a>。</li> </ol> </section>