日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 彈性高性能計算 E-HPC 1.0 安全合規 使用RAM進行訪問控制 基于身份的策略 彈性高性能計算自定義權限策略參考

彈性高性能計算自定義權限策略參考

更新時間:
產品詳情
我的收藏

如果系統權限策略不能滿足您的要求,您可以創建自定義權限策略實現最小授權。使用自定義權限策略有助于實現權限的精細化管控,是提升資源訪問安全的有效手段。本文介紹E-HPC使用自定義權限策略的場景和策略示例。

什么是自定義權限策略

在基于RAM的訪問控制體系中,自定義權限策略是指在系統權限策略之外,您可以自主創建、更新和刪除的權限策略。自定義權限策略的版本更新需由您來維護。

  • 創建自定義權限策略后,需為RAM用戶、用戶組或RAM角色綁定權限策略,這些RAM身份才能獲得權限策略中指定的訪問權限。

  • 已創建的權限策略支持刪除,但刪除前需確保該策略未被引用。如果該權限策略已被引用,您需要在該權限策略的引用記錄中移除授權。

  • 自定義權限策略支持版本控制,您可以按照RAM規定的版本管理機制來管理您創建的自定義權限策略版本。

操作文檔

授權信息參考

使用自定義權限策略,您需要了解業務的權限管控需求,并了解E-HPC的授權信息。詳細內容請參見授權信息

授予RAM用戶使用已有云資源創建E-HPC集群

以下策略表示:僅允許RAM用戶選擇已有的專有網絡VPC、文件存儲NAS等資源創建集群。

說明

  • 若RAM用戶需要創建新的云資源,必須為其授予相應的產品管理權限。關于如何授權,請參見為RAM用戶授權

    • VPC資源: 如果RAM用戶需要創建和管理專有網絡VPC資源,應授予他們AliyunVPCFullAccess系統策略。此策略提供了對VPC服務的全面訪問權限,包括創建、配置和管理VPC資源。

    • NAS資源: 如果RAM用戶需要創建和管理文件存儲NAS資源,應授予他們AliyunNASFullAccess系統策略。此策略允許用戶全面操作NAS服務,包括創建文件系統、創建掛載點等。

  • 通過RAM用戶使用Workbench登錄ECS實例時,請確保已為該RAM用戶授予AliyunECSWorkbenchFullAccess系統權限。

  • 如需使用RAM用戶創建或刪除普通服務角色,必須使用阿里云賬號為該RAM用戶授權。更多信息,請參見RAM用戶使用普通服務角色需要的權限

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:GetRole",
                "ram:CheckServiceLinkedRoleExistence",
                "ram:ListUsers",
                "ram:ListResourceGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cms:QueryMetricList",
                "cms:QueryMetricLast",
                "cms:QueryMetricData"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pvtz:DescribeZones",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "nas:DescribeProtocolMountTarget",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "kms:ListKeys",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oss:ListBuckets",
                "oss:ListObjects",
                "oss:PutObject",
                "oss:GetObject"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:ListTagKeys",
                "tag:ListTagValues"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "yundun-aegis:DescribeAccesskeyLeakList",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:RunInstances",
                "ecs:StartInstances",
                "ecs:StopInstances",
                "ecs:DeleteInstances",
                "ecs:DescribeInstances",
                "ess:DescribeScalingConfigurations",
                "ess:ModifyScalingConfiguration",
                "ess:ModifyScalingRule",
                "ess:ExecuteScalingRule",
                "ess:RemoveInstances",
                "ecs:DescribeDeploymentSets",
                "ecs:DescribeImages",
                "ecs:DescribeKeyPairs",
                "ecs:DescribeSecurityGroups",
                "ecs:RebootInstances",
                "ecs:CreateCommand",
                "ecs:InvokeCommand",
                "ecs:RunCommand",
                "ecs:DescribeCommands",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:ListSecurityGroups",
                "ecs:AuthorizeSecurityGroup",
                "ehpc:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ehpc:*",
            "Resource": "*"
        }
    ]
}