如何限制RAM用戶管理指定的ECS實例?
您可以在RAM中使用資源組、標簽、資源ARN三種授權方式,限制RAM用戶管理指定的ECS實例。
使用資源組(推薦)
資源組是阿里云上進行資源分組管理的一種機制。您可以創(chuàng)建一個資源組,將指定的ECS實例加入資源組,然后為RAM用戶授予資源組范圍內(nèi)的權限,實現(xiàn)指定RAM用戶管理指定資源組內(nèi)的ECS實例。該方式可以直接使用系統(tǒng)策略,操作便捷,學習成本低。對于更加精細的授權,您也可以使用自定義策略。而且,該方式擴展性比較好,后續(xù)如有新增資源,直接加入對應資源組即可,不用再次授權。
具體操作,請參見使用資源組限制RAM用戶管理指定的ECS實例。
該方式授權后,RAM用戶必須在ECS控制臺上選擇對應的資源組,才能看到有權限的ECS實例。未選擇資源組時,看不到任何ECS實例。
使用標簽
標簽是云資源的標識,可以幫助您從不同維度對具有相同特征的云資源進行分類、搜索和聚合。您可以為ECS實例綁定標簽,然后創(chuàng)建自定義策略并為RAM用戶授權,利用標簽控制RAM用戶對ECS實例的訪問。該方式不能使用系統(tǒng)策略,只能在自定義策略中通過條件(Condition)指定授權的標簽,使用靈活,授權粒度細,但是,您需要掌握自定義策略的用法,具有一定的使用門檻。
具體操作,請參見使用標簽管理指定的ECS實例。
該方式授權后,RAM用戶必須在ECS控制臺上選擇對應的標簽,才能看到有權限的ECS實例。未選擇標簽時,看不到任何ECS實例。
使用資源ARN
您可以直接為RAM用戶在整個云賬號范圍內(nèi)授權指定ECS實例的管理權限,使用資源ARN指定需要授權的ECS實例。該方式可以使用系統(tǒng)策略和自定義策略。該方式需要您逐個對RAM用戶進行授權,適用業(yè)務場景簡單、RAM用戶、ECS實例較少的情況。
具體操作,請參見通過RAM對ECS進行權限管理。
該方式授權后,RAM用戶能看到阿里云賬號(主賬號)下的所有ECS實例,但只能操作有權限的ECS實例。
常見問題
為RAM用戶授予了ECS的管理權限(系統(tǒng)策略AliyunECSFullAccess或自定義策略中 Action為ecs:*),可以管理ECS實例,但確無法通過Workbench方式遠程連接ECS實例,怎么辦?
為RAM用戶授予ECS的管理權限后,該RAM用戶只能通過VNC方式遠程連接ECS實例。如需通過Workbench方式遠程連接,您還需要在自定義策略中單獨添加Workbench的權限,即需要添加Action為ecs-workbench:*的權限。具體操作,請參見創(chuàng)建自定義權限策略。
相關文檔
除ECS實例外,您也可以通過上述方法對其他資源進行授權。操作前,您務必確認對應資源是否支持對應的鑒權方式。