訪問控制RAM
默認情況下,只有阿里云主賬號可以使用Cloud Shell。如果子賬號需要使用Cloud Shell,則需要先為子賬號進行授權(quán)。
操作步驟
使用RAM管理員登錄RAM控制臺。
在左側(cè)導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權(quán)限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權(quán)限,為RAM用戶批量授權(quán)。
在新增授權(quán)面板,為RAM用戶添加權(quán)限。
選擇資源范圍。
賬號級別:權(quán)限在當前阿里云賬號內(nèi)生效。
資源組級別:權(quán)限在指定的資源組內(nèi)生效。
重要指定資源組授權(quán)生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權(quán)示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權(quán)主體。
授權(quán)主體即需要添加權(quán)限的RAM用戶。系統(tǒng)會自動選擇當前的RAM用戶。
選擇權(quán)限策略。
權(quán)限策略是一組訪問權(quán)限的集合,分為以下兩種。支持批量選中多條權(quán)限策略。
系統(tǒng)策略:由阿里云創(chuàng)建,策略的版本更新由阿里云維護,用戶只能使用不能修改。更多信息,請參見支持RAM的云服務。
說明系統(tǒng)會自動標識出高風險系統(tǒng)策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權(quán)時,盡量避免授予不必要的高風險權(quán)限策略。
自定義策略:由用戶管理,策略的版本更新由用戶維護。用戶可以自主創(chuàng)建、更新和刪除自定義策略。更多信息,請參見創(chuàng)建自定義權(quán)限策略。
單擊確認新增授權(quán)。
單擊關(guān)閉。
請根據(jù)需要選擇相應的Cloud Shell系統(tǒng)權(quán)限策略。如需Cloud Shell的完全讀寫權(quán)限,請選擇AliyunCloudShellFullAccess。
自定義權(quán)限策略
Cloud Shell默認提供的系統(tǒng)授權(quán)策略是粗粒度的授權(quán)策略。如果這種粗粒度授權(quán)策略不能滿足您的需求,您可以創(chuàng)建自定義授權(quán)策略,滿足這種細粒度權(quán)限要求。
在創(chuàng)建自定義授權(quán)策略時,您需要了解授權(quán)策略語言的基本結(jié)構(gòu)和語法,詳情請參見權(quán)限策略語法和結(jié)構(gòu)。
鑒權(quán)列表
Action | Action說明 |
cloudshell:CreateEnvironment | 創(chuàng)建CloudShell實例環(huán)境 |
cloudshell:CreateSession | 創(chuàng)建 CloudShell 會話環(huán)境 |
cloudshell:UploadFile | 將文件從本地計算機上傳到 CloudShell |
cloudshell:DownloadFile | 將文件從 CloudShell 下載到本地計算機 |
cloudshell:AttachStorage | 為 CloudShell 綁定存儲空間 |
cloudshell:DetachStorage | 為 CloudShell 解綁存儲空間 |