某企业购买了多种阿里云资源，ECS实例、RDS实例、SLB实例、OSS存储空间和DNS域名解析等。企业里有多个部门多种角色需要操作这些云资源，由于每个人的工作职责不同，需要的权限也不同。

企业希望能够达到以下要求：

• 不允许多人共享同一个云账号，共享云账号可能导致密码或访问密钥泄露。
• 给每人创建独立账号（操作员账号）并独立分配权限，做到责权一致。
• 每个人账号只能在授权的前提下操作资源，所有账号的所有操作行为可审计。
• 随时可以撤销账号身上的权限，也可以随时删除其创建的用户账号。
• 不需要对个人账号进行独立的计量计费，所有发生的费用统一计入云账号账单。

实现方法如下：

• 为云账号设置多因素认证，避免因云账号密码泄露导致风险。
• 为不同角色人员（应用系统）创建RAM用户，并按需设置登录密码或创建访问密钥。
• 如果有多个人员的职责相同，建议创建用户组，并将用户添加到用户组。
• 为RAM用户或用户组添加一条或多条系统策略。如果需要更细粒度的授权，可以创建自定义策略并为RAM用户或用户组进行授权。
• 为不需要权限的RAM用户或用户组移除权限。