通過RAM對ECS進(jìn)行權(quán)限管理
本文介紹了通過RAM對云服務(wù)器(ECS)進(jìn)行權(quán)限管理,以滿足RAM用戶操作ECS的多種需求。
背景信息
RAM提供的ECS系統(tǒng)權(quán)限策略如下:
AliyunECSFullAccess:管理ECS的權(quán)限。
AliyunECSReadOnlyAccess:只讀訪問ECS的權(quán)限。
如果系統(tǒng)權(quán)限策略不能滿足您的要求,您可以創(chuàng)建自定義權(quán)限策略實(shí)現(xiàn)最小授權(quán)。使用自定義權(quán)限策略有助于實(shí)現(xiàn)權(quán)限的精細(xì)化管控,是提升資源訪問安全的有效手段。ECS鑒權(quán)列表,請參見鑒權(quán)規(guī)則。
操作步驟
創(chuàng)建RAM用戶。
具體操作,請參見創(chuàng)建RAM用戶。
創(chuàng)建自定義策略。
更多信息,請參見創(chuàng)建自定義權(quán)限策略和權(quán)限策略示例。
為RAM用戶授權(quán)。
具體操作,請參見為RAM用戶授權(quán)。
其中,授權(quán)范圍您可以選擇:
整個云賬號:權(quán)限在當(dāng)前阿里云賬號內(nèi)生效。為方便操作,本示例選擇整個云賬號。
指定資源組:權(quán)限在指定的資源組內(nèi)生效。資源組授權(quán)示例,請參見使用資源組管理指定的ECS實(shí)例。
權(quán)限策略示例
示例1:授權(quán)RAM用戶管理2個指定的ECS實(shí)例。
假設(shè)您的賬號購買了多個ECS實(shí)例,而作為RAM管理員,您希望僅授權(quán)其中的2個ECS實(shí)例給某個RAM用戶。ECS實(shí)例ID分別為i-001、i-002。
{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-001", "acs:ecs:*:*:instance/i-002" ] }, { "Action": "ecs:Describe*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }說明授予該權(quán)限策略的RAM用戶可以查看所有的ECS實(shí)例,但只能操作其中2個ECS實(shí)例。如果您只想查看和操作這2個ECS實(shí)例,您可以使用資源組授權(quán)的方式。具體操作,請參見使用資源組管理指定的ECS實(shí)例。
Describe*在權(quán)限策略中是必須的,否則用戶在控制臺將無法查看任何ECS實(shí)例。但使用API、CLI或SDK可以直接對這2個ECS實(shí)例進(jìn)行操作。
示例2:授權(quán)RAM用戶僅可以查看華北1(青島)地域的ECS實(shí)例,但不允許查看磁盤及快照信息。
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:Describe*", "Resource": "acs:ecs:cn-qingdao:*:instance/*" } ], "Version": "1" }說明如果您想授權(quán)RAM用戶查看其他地域的ECS實(shí)例,可以將
Resource中的cn-qingdao替換為其他地域ID。關(guān)于地域ID,請參見地域和可用區(qū)。示例3:授權(quán)RAM用戶創(chuàng)建快照。
如果RAM用戶已擁有ECS實(shí)例管理員權(quán)限,但仍不能創(chuàng)建磁盤快照,再次授予RAM用戶指定磁盤的權(quán)限即可正常使用。ECS實(shí)例ID為
i-001,磁盤ID為d-001。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-001" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:disk/d-001", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }