創建ECI資源時,您可以指定所屬的資源組,以便對資源進行分組管理。本文介紹如何通過資源組控制RAM用戶的權限,實現RAM用戶只能操作特定資源組內的ECI資源。
背景信息
資源組是在阿里云賬號下進行資源分組管理的一種機制,可以幫助您解決單個阿里云賬號內的資源分組和授權管理的問題。資源組的使用說明如下:
一個資源組可以包含不同地域的云資源。例如:資源組A中可以包含華北2(北京)地域的實例和華東1(杭州)地域的實例。
同一個賬號內不同資源組中,相同地域的資源可以進行關聯。例如:資源組A中華北2(北京)地域的實例可以加入到資源組B中華北2(北京)地域的VPC內。
資源組會繼承RAM用戶的全局權限,即:如果您授權RAM用戶管理所有的阿里云資源,那么阿里云賬號下所有的資源組都會在該RAM用戶中顯示出來。
應用場景
每個ECI資源(ECI實例、鏡像緩存)必須且只能屬于一個資源組。創建ECI資源時,您可以指定資源組,如果沒有指定資源組,則該資源將加入到默認資源組中。
您可以將不同用途的ECI資源分別加入到多個資源組中,并為每個資源組設置不同的RAM用戶作為管理員,從而實現分組、分權管理ECI資源。
例如:如果您的ECI實例分別用于生產環境和測試環境,您可以將ECI實例分別加入到生產資源組和測試資源組中,授權RAM用戶A可以操作生產資源組中的ECI實例,授權RAM用戶B可以操作測試資源組中的ECI實例。配置完成后,當產品進行測試時,由RAM用戶B操作測試資源組中的ECI實例。當產品需要上線時,由RAM用戶A對生產資源組中的ECI實例進行操作。兩套環境由不同的RAM用戶進行管理,可以很好地控制權限,避免不必要的誤操作。
配置流程
按以下場景為示例,創建多個資源組對ECI資源進行分組,并授權RAM用戶只能操作特定資源組的ECI資源:
新增兩個資源組:生產資源組、測試資源組。
新增兩個RAM用戶:RAM用戶A具備生產環境的AliyunECIFullAccess權限,RAM用戶B具備測試環境的AliyunECIFullAccess權限。
說明AliyunECIFullAccess是RAM提供的系統策略,包含操作ECI資源的所有權限。
配置流程如下:
創建兩個資源組。具體操作,請參見創建資源組。
創建兩個RAM用戶。具體操作,請參見創建RAM用戶。
分別為兩個資源組設置對應的RAM用戶作為管理員。具體操作,請參見添加RAM身份并授權。
授權時,授權主體請輸入RAM用戶,權限可以選擇AliyunECIFullAccess權限。
指定資源組創建ECI實例。
如果通過彈性容器實例售賣頁創建,請在其他設置(選填)頁面指定資源組。
如果調用CreateContainerGroup創建,請傳入資源組ID(ResourceGroupId)。
預期結果
按配置流程配置分組、分權管理ECI實例后,預期結果如下:
在彈性容器實例控制臺上,RAM用戶只能查看和操作有權限的資源組中的ECI資源。
調用各API接口時,RAM用戶只能查看和操作有權限的資源組中的ECI資源。例如:
CreateContainerGroup
創建ECI實例時,必須要傳入正確的資源組ID,才可以通過鑒權;如果沒有傳入資源組ID,或者傳入的資源組ID不正確,則鑒權不通過。
說明如果RAM用戶具備默認資源的權限,則無需傳入資源組ID,ECI實例將默認將加入到默認資源組中。
DescribeContainerGroups
查詢ECI實例信息時,必須要傳入正確的資源組ID,才可以通過鑒權;如果沒有傳入資源組ID,或者傳入的資源組ID不正確,則鑒權不通過。
說明如果傳入的ECI實例ID與資源組ID不匹配,即ECI實例不屬于該資源組時,即使資源組ID正確,也無法查看ECI實例的信息。
DescribeContainerLog
查詢ECI實例的日志時,無需傳入資源組ID,系統將自動檢索ECI實例所屬的資源組并進行鑒權。
DeleteContainerGroup
刪除ECI實例時,無需傳入資源組ID,系統將自動檢索ECI實例所屬的資源組并進行鑒權。