背景信息

• RAM用戶是由阿里云賬號（主賬號）或者具有管理員權(quán)限的其他RAM用戶（子賬號）或RAM角色創(chuàng)建，創(chuàng)建成功后，RAM用戶（子賬號）歸屬于阿里云賬號，它并非獨(dú)立的阿里云賬號。

• RAM用戶（子賬號）擁有獨(dú)立的登錄密碼或訪問密碼，且一個(gè)阿里云賬號下可以創(chuàng)建多個(gè)RAM用戶（子賬號）。

• RAM用戶（子賬號）必須在獲得授權(quán)后，才能登錄控制臺并創(chuàng)建服務(wù)實(shí)例。您可以根據(jù)業(yè)務(wù)場景為其授予相應(yīng)的權(quán)限策略。

  若您只登錄計(jì)算巢控制臺，則只需要獲取計(jì)算巢的系統(tǒng)權(quán)限即可，計(jì)算巢提供以下兩種系統(tǒng)權(quán)限策略：

  • AliyunComputeNestUserFullAccess：管理計(jì)算巢服務(wù)（ComputeNest）的用戶側(cè)權(quán)限，該權(quán)限可以查看用戶側(cè)的視圖，也可以對用戶側(cè)的視圖進(jìn)行編輯。

  • AliyunComputeNestUserReadOnlyAccess：只讀訪問計(jì)算巢服務(wù)（ComputeNest）的用戶側(cè)權(quán)限，該權(quán)限僅能查看用戶側(cè)的視圖，不能編輯。

  若您需要?jiǎng)?chuàng)建服務(wù)實(shí)例，則管理計(jì)算巢服務(wù)的用戶側(cè)權(quán)限（AliyunComputeNestUserFullAccess）外，您還需要獲取云資源的權(quán)限。云資源權(quán)限分為必須獲取的權(quán)限和非必須獲取的權(quán)限。

  • 必須獲取的云資源權(quán)限即創(chuàng)建所有服務(wù)實(shí)例都需要的權(quán)限。必須獲取的云資源權(quán)限如下：

    • AliyunVPCFullAccess：管理專有網(wǎng)絡(luò)（VPC）的權(quán)限。

    • AliyunECSFullAccess：管理云服務(wù)器服務(wù)（ECS）的權(quán)限。

    • AliyunTagAdministratorAccess：管理標(biāo)簽服務(wù)（TAG）和所有阿里云產(chǎn)品標(biāo)簽的權(quán)限。

    • AliyunCloudMonitorFullAccess：管理云監(jiān)控（CloudMonitor）的權(quán)限。

    • AliyunROSFullAccess：管理資源編排服務(wù)（ROS）的權(quán)限。

  • 非必須獲取的云資源權(quán)限即根據(jù)服務(wù)實(shí)例的業(yè)務(wù)需求，需要?jiǎng)?chuàng)建除必須的云資源外的其他資源。例如，創(chuàng)建服務(wù)實(shí)例時(shí)，云資源需要綁定公網(wǎng)IP時(shí)，您需要先獲取公網(wǎng)IP的管理權(quán)限（AliyunEIPFullAccess），授權(quán)的詳細(xì)信息，請參考下面的操作步驟。支持RAM的云服務(wù)，請參見支持RAM的云服務(wù)。