告别烦人验证码! 阿里云RAM(Resource Access Management, 资源访问控制)子账号,还你一个清爽的开发体验!

原创 已于 2025-11-19 15:07:12 修改 · 446 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#阿里云 #数据库 #网络

于 2025-11-19 15:06:59 首次发布

告别烦人验证码!🚫 阿里云RAM子账号,还你一个清爽的开发体验!👨‍💻✨

嘿,各位奋斗在代码世界的兄弟姐妹们!

你是否经历过这样的绝望瞬间:

正在调试一个紧急的线上问题,需要登录阿里云控制台重启个服务…

屏幕上赫然出现:“为了您的账户安全,请输入手机验证码” 📱

而那个绑定了手机号的老板/管理员,正在飞往马尔代夫的飞机上… ✈️

你的内心:🤯😭😡🤬

今天,我们就来彻底终结这场噩梦!这一切的根源,在于你(或者你的团队)还在用那个至高无上的阿里云主账号(Root Account) 在进行日常开发和运维。

把主账号想象成古代的皇帝玉玺 👑,它拥有一切权力,但也正因如此,安保系统(也就是烦人的验证码和MFA (Multi-Factor Authentication, 多因素认证))对它严防死守。而我们开发者,其实只需要一把能打开自己办公室和实验室的工作钥匙 🔑 就够了。

这把“工作钥匙”,就是 RAM (Resource Access Management, 资源访问控制) 用户(子账号)!下面,就跟我一起,三步走,打造一把属于你自己的、免验证码烦恼的“神仙钥匙”!

第一步:铸造钥匙胚子 - 创建RAM (Resource Access Management, 资源访问控制) 用户 👤

首先,我们需要让手持“玉玺”的管理员(或者你自己登录主账号),进入 访问控制 RAM (Resource Access Management, 资源访问控制) 控制台。

  1. 找到入口:在阿里云控制台左侧导航,找到 身份管理 -> 用户,然后勇敢地点击 “创建用户”

  2. 命名你的钥匙

    • 登录名称:给它一个酷炫又好记的英文名,比如 devopsops-admin
    • 显示名称:写上中文备注,比如“自动化运维专用”,防止以后忘了它是干啥的。

  3. 选择开锁方式(访问方式):这是关键!

    • [✅] 控制台访问:勾选这个,你才能用密码登录网页控制台。🖥️
    • [✅] 使用永久 AccessKey 访问务必勾选! 这是给你的自动化脚本、CI/CD (Continuous Integration/Continuous Deployment, 持续集成/持续部署) 流水线用的“程序身份证”,是实现自动化运维的灵魂!🤖

第二步:刻上独一无二的齿痕 - 保存凭证 ‼️

点击“确定”后,你会来到整个流程中唯一一次能看到所有秘密的页面!

⚠️ 高能预警!高能预警!高能预警! ⚠️

这个页面会显示你的:

  • 登录密码 🤫
  • AccessKey ID (访问密钥ID)
  • AccessKey Secret (访问密钥私钥, 只显示这一次!)

正确姿势:
立刻点击 “下载 CSV 文件” 按钮,然后把这个文件锁进你的数字保险箱里(比如 1Password, KeePass 等密码管理器)。千万别截图!千万别发微信!千万别直接扔在桌面上!

第三步:赋予钥匙开锁的魔力 - 授权 🪄

现在你的钥匙还是个“毛坯”,开不了任何门。我们需要给它授权。

回到用户列表,找到刚创建的 devops 用户,点击右侧的 “添加权限”

这时,你会面临一个哲学问题:我该给它多大的权力?

  1. 【禁忌之选 💀】AdministratorAccess (管理员权限)

    • 这是什么:相当于你复制了一把皇帝的玉玺。拥有它,就拥有了一切。
    • 为什么危险:你的自动化脚本万一有漏洞,或者你的 AccessKey (访问密钥) 不小心提交到了 GitHub… 黑客拿到它,就能在你的账户里开矿场、删数据库、甚至把你踢出局!😱

  2. 【明智之选 👍】PowerUserAccess (超级用户权限)

    • 这是什么:这就像给了你一张“CEO特助”的工牌。你可以调动公司所有业务资源(服务器、数据库等)去完成工作。
    • 安全在哪:但你不能插手“人事部(RAM (Resource Access Management, 资源访问控制))”和“财务部(Billing)”。也就是说,你不能自己再造一把钥匙,也不能动公司的钱。这极大地降低了风险!

  3. 【专家之选 🚀】精细化授权 (按需授权)

    • 这是什么:就像一个工具箱,你需要用锤子,就只给你一把锤子。你需要操作容器,就只给你 AliyunACKFullAccess 权限。
    • 优点:权限最小化,最安全!是企业级应用的最佳实践。

当你选择高风险权限时,阿里云会弹出最后的“灵魂拷问”,强烈推荐你使用更安全的 PowerUserAccess。听它的,没错!

总结与图表分析

权限选择核心对比
权限策略形象比喻核心能力关键限制推荐指数
AdministratorAccess皇帝玉玺 👑所有操作,无任何限制⭐ (极不推荐)
PowerUserAccessCEO特助 👨‍💼管理所有业务资源不能管理权限和财务⭐⭐⭐⭐ (强烈推荐)
精细化授权专用工具箱 🛠️仅限特定业务资源严格按需,权限隔离⭐⭐⭐⭐⭐ (专家之选)
Mermaid 图表展示
整体操作流程图 (Flowchart)
选择 'PowerUserAccess' 或
更精细的权限
危险: 选择 'AdministratorAccess'
痛点:使用主账号开发
频繁被验证码打断
解决方案:
创建专用的RAM子账号
Step 1: 登录主账号
进入RAM控制台
Step 2: 创建新用户
选择控制台和AK访问
Step 3: 安全保存
初始密码和AccessKey
Step 4: 为新用户添加权限
选择合适的权限策略
授权成功
使用新RAM账号和密码登录
告别验证码!
获得过高权限
存在巨大安全隐患
角色交互时序图 (Sequence Diagram)
开发者管理员 (主账号)阿里云RAM服务请求:别再用主账号了我需要一个独立的开发账号!登录并请求创建用户返回创建用户界面填写用户信息 (devops)选择访问方式 (密码+AK)<b>成功创建用户</b>返回初始密码和AccessKey安全地发送登录链接、用户名、初始密码、AK为用户 "devops" 添加权限确认权限添加成功使用新账号和密码首次登录强制要求修改密码并绑定MFA设备完成设置登录成功,可以开始工作!开发者管理员 (主账号)阿里云RAM服务
账户状态变迁图 (State Diagram)
HighRisk
Secure
直接使用主账号
使用RAM子账号
开始使用云服务
"最佳实践:创建RAM子账号并授权"
DirectUse
高风险状态
所有操作都暴露在最高权限下
频繁需要身份验证
RamUser
安全状态
权限隔离,风险可控
日常操作无需额外验证
核心概念类图 (Class Diagram)
creates >
1
0..*
is granted >
1
1..*
RootAccount
+String accountId
+manageBilling()
+manageRAM()
RAMUser
+String userId
+String userName
+AccessKey accessKey
+login()
Policy
+String policyName
+String effect
+String action
+String resource
实体关系图 (Entity Relationship Diagram)
ACCOUNTstringaccount_idPK账号IDstringaccount_name账号名称USERstringuser_idPK用户IDstringuser_name用户名stringaccount_idFK账号IDPOLICYstringpolicy_idPK策略IDstringpolicy_name策略名称stringtype策略类型PERMISSIONstringpermission_idPK权限IDstringaction操作stringresource资源stringpolicy_idFK策略ID包含定义被授予

Markdown 格式思维导图

  • 核心痛点:直接使用主账号开发
    • 权限过高,存在安全风险
    • 操作敏感,频繁触发手机或MFA (Multi-Factor Authentication, 多因素认证) 验证
    • 凭证(主账号密码/AK (AccessKey, 访问密钥))泄露 = 灾难
  • 解决方案:使用RAM (Resource Access Management, 资源访问控制) 子账号
    • 第一步:创建用户
      • 命名:devops
      • 访问方式:必须同时勾选“控制台访问”和“AccessKey (访问密钥) 访问”
    • 第二步:保存凭证
      • 关键:初始密码和AccessKey (访问密钥) Secret仅显示一次
      • 最佳实践:下载CSV文件并存入密码管理器
    • 第三步:为用户授权
      • 权限策略对比
        • AdministratorAccess禁忌,风险极高
        • PowerUserAccess推荐,平衡了功能与安全
        • 精细化授权专家级,最安全
  • 最终收益
    • 提升安全:遵循最小权限原则,隔离风险
    • 提升效率:日常操作不再需要繁琐的身份验证
    • 责任清晰:每个开发者使用自己的账号,操作可追溯

最后,请记住这条黄金法则:

主账号用来授权和付款,RAM (Resource Access Management, 资源访问控制) 子账号用来干活!

现在,就去联系你的管理员,申请一把属于你自己的“神仙钥匙”吧!祝你编码愉快,再无打扰!🚀

在这里插入图片描述

博客
域名解密:mdt.center, www, api 三者在微服务架构中的“三角关系”
11-24 155
域名架构解析:mdt.center 的云原生实践 本文深入解析了 mdt.center、www.mdt.center 和 api.mdt.center 在现代云原生架构中的分工协作。根域名 mdt.center 作为数字资产,指向阿里云 OSS;www 子域名负责前端展示,托管静态资源;api 子域名处理后端逻辑,部署在 K8s 集群。这种拆分实现了动静分离、安全隔离和系统解耦,体现了云原生架构的最佳实践。三者通过 HTTPS 安全连接,共同构建完整的现代化应用。
博客
填坑记:ACK (K8s) + SLB 全链路 HTTPS 部署实战与跨地域证书同步指南
11-24 21
在云原生架构中,“前端 OSS 静态托管 + 后端 ACK 微服务” 是黄金组合。但当我们要给这个组合穿上 SSL (HTTPS) 的防弹衣时,却踩中了一个极其隐蔽的坑——阿里云证书的“地域隔离”。
博客
Vue3+Vite 部署阿里云 OSS 避坑指南:搞定 API 接口 404 与动态环境注入
11-21 359
Vue3+Vite项目部署阿里云OSS时API接口404问题解决方案 问题分析: 本地开发时Vite代理正常工作,但线上部署后API请求发往OSS域名导致404 根本原因是Vite的server.proxy仅在开发模式生效,且Axios配置硬编码了相对路径 解决方案: 编写自动化部署脚本(deploy-web.sh),在构建前动态注入环境变量 修改Axios配置,优先读取环境变量中的真实网关地址(VITE_APP_BASE_API) 脚本自动处理构建、环境变量注入和OSS上传流程 关键点: 通过.env.p
博客
打通云端链路:本地终端直连阿里云 OSS 配置指南(ossutil)
11-21 277
本文介绍了如何在Mac终端配置阿里云OSS命令行工具ossutil,实现本地与云端存储的高效连接。主要内容包括:1)通过官方二进制安装ossutil并解决Mac安全限制;2)交互式配置AK/SK和Endpoint等关键参数;3)使用ossutil ls命令验证连接性。文章提供了操作速查表、详细步骤说明和可视化流程图,帮助开发者快速建立安全的命令行访问通道,提升云存储管理效率。成功配置后,用户可直接通过终端操作OSS存储资源。
博客
K8s (Kubernetes, 容器编排系统) 容器网络排查的“瑞士军刀”:getent 与 curl 的妙用
11-20 77
阿里云 VPC (Virtual Private Cloud, 专有网络) 切换后的 DNS (Domain Name System, 域名系统) 缓存问题)
博客
云上安全的第一道门禁:带你玩转阿里云访问控制(RAM,Resource Access Management,资源访问管理)
11-18 677
本文介绍了阿里云访问控制(RAM)的核心概念与应用场景。RAM通过主账号、RAM用户、用户组、权限策略和RAM角色等组件,实现精细化权限管理,遵循最小权限原则。文章列举了团队成员权限管理、增强安全条件限制、跨账号访问合作及云服务访问配置四个典型场景,并提供了最佳实践建议,如避免使用主账号操作、启用多因素认证等。RAM作为云资源的安全管家,能有效解决账号共享、权限混乱等安全问题,帮助用户构建安全的云上权限体系。
博客
CI/CD 实战:修复 Docker 推送私有 Harbor 仓库的 HTTPS client 错误
11-11 1063
摘要:本文记录了在CI/CD实践中遇到的Docker推送私有Harbor仓库时的"HTTPS client"错误。作者最初错误地在服务器端配置信任规则,后意识到问题源于本地Docker客户端的HTTPS校验。通过在MacBook Pro的Docker Desktop配置中添加insecure-registries字段并重启,最终成功实现了自动化部署脚本的HTTP推送功能。文章通过生动的比喻和详细的操作步骤,强调了Docker安全策略的客户端驱动特性,为处理内网测试环境提供了实用解决方案。
博客
从零到一:我在服务器上部署企业级镜像仓库 Harbor 的全过程记录
11-11 802
在我的微服务项目的开发过程中,我遇到了一个经典的需求:我需要一个地方来统一、安全地管理我们团队构建的所有 Docker 镜像。直接使用公共的 Docker Hub 不仅有速率限制,更重要的是,将包含业务代码的镜像放在公网上,始终存在安全隐患。经过一番调研,我决定放弃轻量级的registry方案,直接一步到位,选择云原生计算基金会 (CNCF, Cloud Native Computing Foundation) 的毕业项目——Harbor,来为我的测试环境搭建一个功能强大的企业级私有镜像仓库。
博客
软件下载页的“神秘四兄弟”:.tar.gz, .zip 和 .md5 到底都是啥?
11-10 1051
Linux/macOS用户应下载.tar.gz,Windows用户选择.zip文件,这两种格式都是软件的压缩包。对应的.md5文件用于校验文件完整性,通过比对MD5哈希值可确保文件未被篡改或损坏。生产环境中建议下载.md5文件进行校验,而普通用户只需选择适合自己系统的压缩包即可。
博客
Chrome 在 macOS 上“拒绝服务”?一行命令带你走出 Permission denied 的绝境
11-08 1038
摘要:Chrome在macOS上因权限错误无法启动的终极解决方案 当Chrome在macOS上突然无法启动且终端显示"Permission denied"错误时,常规的权限修复命令(chown/chmod)往往无效。问题根源通常是Chrome配置文件目录(~/Library/Application Support/Google/Chrome)已损坏,导致无法读写关键文件。本文详细记录了从发现问题到最终解决的完整过程:通过终端诊断确认权限错误→尝试传统修复方法失败→确认配置文件损坏→执行决
博客
✨ Element Plus 小技巧:用 collapse-tags 终结多选框的“选择困难症”!
11-07 1219
Element Plus 多选框优化技巧 本文介绍了Element Plus中el-select组件的collapse-tags属性,它能有效解决多选项选择时界面元素被"撑爆"的问题。当开启collapse-tags后,多选框会自动将超出的选项折叠为+N标签,保持界面整洁。搭配collapse-tags-tooltip属性,用户可通过悬停查看被折叠的全部选项,既节省空间又不丢失信息。这种组合特别适用于需要选择多个标签、负责人等场景,能显著提升表单的美观性和用户体验。
博客
部署进化论:从“一体化”到“分离式”,让你的微服务部署效率飙升10倍!
11-06 857
本文对比了两种微服务部署模式:“一体化”模式与**“分离式”模式**。 “一体化”模式将所有流程(编译、构建、运行)集中在服务器完成,虽简单但效率低下,导致部署缓慢(约4分钟)、资源占用高且环境混乱。 “分离式”模式将职责分离:本地或CI服务器完成编译和镜像构建,镜像仓库存储版本化镜像,服务器仅拉取并运行容器。这种模式显著提升了部署速度(秒级完成),减少服务器负载,保持环境纯净,且支持轻松回滚。 核心建议:项目早期可使用“一体化”模式快速验证,但进入开发和生产阶段后,应优先采用“分离式”模式,结合镜像仓库实
博客
从 500 到 200:一次因“环境串扰”引发的微服务雪崩排查实录(Nacos)
11-05 1136
摘要: 本文记录了一次由Nacos环境串扰引发的微服务雪崩事故排查过程。作者在本地开发时发现所有接口返回500错误,网关日志显示PrematureCloseException。排查发现Nacos注册中心同时存在本地和Docker环境的服务实例,导致请求被随机路由到不可达的Docker内部IP。通过创建独立的Nacos命名空间实现环境隔离,最终解决了问题。文章强调了环境隔离的重要性,并分享了微服务网络模型、日志分析等实用排查技巧。(149字)
博客
云上数据的金钟罩:揭秘阿里云OSS加密算法AES256与SM4的终极对决!
11-03 963
阿里云OSS (Object Storage Service, 对象存储服务) Bucket,并且在安全设置的道路上一路披荆-斩棘。当你来到 “服务端加密方式” 这一关时,你遇到了两位神秘的守护者:AES256 和 SM4。
博客
告别黑乎乎的命令行!用 Portainer 给你的 Docker 装上一个酷炫的“仪表盘”
11-01 914
文章摘要 Portainer是一款开源的Docker图形化管理工具,能够帮助用户通过直观的Web界面轻松管理容器,摆脱复杂的命令行操作。它提供仪表盘概览、一键容器操作、实时资源监控、日志浏览和Web终端等功能。安装仅需两步:创建数据卷并运行Portainer容器(需挂载Docker套接字)。首次访问时通过HTTPS配置管理员账户即可连接本地Docker环境。Portainer显著降低了Docker管理门槛,适合个人开发者和团队使用,让容器管理变得高效直观。
博客
从 Vite Proxy 到 Nginx 反向代理:打通前后端分离部署的“最后一公里” ✨
10-31 1052
摘要:Vite Proxy 到 Nginx 反向代理的部署转换 本文探讨了前后端分离部署中常见的 API 请求失效问题。开发环境下 Vite 的 proxy 配置能有效解决跨域,但在生产环境(npm run build后)会失效,因为静态文件不具备代理能力。解决方案是通过 Nginx 反向代理:在配置中添加 /api/ 的 location 规则,使用 proxy_pass 将请求转发至后端 API 网关,并确保路径重写正确。文章详细解释了配置要点,包括末尾 / 的重要性,并提供了 Nginx 重载命令。最
博客
SSH 终极技巧:告别 -i 和长命令,用 config 文件实现“一键登录”!
10-31 1234
🚀 SSH 配置终极技巧摘要 通过配置 ~/.ssh/config 文件,可以实现"一键登录"SSH服务器,告别繁琐的-i参数和长命令。只需为每台服务器创建配置块,包含Host(别名)、HostName(IP)、User(用户名)和IdentityFile(密钥路径)信息,就能通过简单别名快速连接。这种方法极大提升了管理多台服务器时的效率,同时也适用于scp命令。配置完成后,只需输入ssh 别名即可自动完成认证登录,是开发运维人员的必备技巧。 关键优势: ✅ 简化命令输入 ✅ 便于管理
博客
SSH 密钥登录“三步走”:从 Permission denied 到丝滑登录
10-31 1187
SSH密钥登录排错指南 问题现象:使用SSH密钥登录云服务器时出现"Permission denied (publickey)"或"UNPROTECTED PRIVATE KEY FILE"错误。 根本原因: 未正确指定私钥文件路径(默认只查找id_rsa等标准文件) 私钥文件权限过于开放(需严格限制为600权限) 解决方案: 明确指定私钥路径:ssh -i ~/.ssh/my-key.pem user@host 设置正确权限:chmod 600 ~/.ssh/my-
博客
终极进化!拥抱 ESLint v9,让你的 Vue 3 + Vite 项目“刀枪不入” ✨
10-30 1255
你是否还在为 npm run build 时才发现一堆 TypeScript (TS) 错误而烦恼?是否还在忍受团队成员提交的代码风格五花八门?
博客
Docker Compose: docker-compose 还是 docker compose?别再傻傻分不清!
10-30 1517
Docker Compose 版本演变:从V1到V2 Docker Compose经历了从独立工具到集成组件的演变: V1版本:独立Python工具,使用docker-compose命令,需单独安装但存在依赖问题 V2版本:集成Go插件,使用docker compose命令,随Docker自动安装,提供更统一的操作体验和更好性能 兼容方案:可通过脚本自动检测可用版本,推荐优先使用V2命令 迁移建议:逐步将旧命令替换为新格式,注意更新自动化脚本中的命令调用方式 关键词:Docker Compose、版本差异、
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值