訪問資源中心的權限

遵循最小授權原則，為RAM用戶授予合適的權限。

• 系統策略

  • AliyunResourceCenterFullAccess：管理資源中心（ResourceCenter）的權限。

  • AliyunResourceCenterReadOnlyAccess：只讀訪問資源中心（ResourceCenter）的權限。

• 自定義策略

  如果系統策略不能滿足您的需求，您可以創建自定義策略。資源中心的授權信息，請參見授權信息。

搜索資源的權限

單賬號

• 云資源的查看權限

  為RAM用戶授予目標云資源的只讀查看權限后，該RAM用戶就能在資源中心查看到對應的云資源。

  例如：您希望RAM用戶可以在資源中心查看賬號下所有的云資源，您可以為RAM用戶授予系統權限策略ReadOnlyAccess。如果您僅希望RAM用戶查看某個特定的云資源，例如VPC資源，您可以只為RAM用戶授予VPC系統權限策略AliyunVPCReadOnlyAccess。

• 資源組范圍內的云資源查看權限

  如果賬號下的云資源已按資源組進行了分組管理，您可以為RAM用戶僅授予資源組范圍內的云資源查看權限，則該RAM用戶僅能查看資源組內的云資源，滿足資源隔離訴求。具體操作，請參見添加RAM身份并授權。

跨賬號

為資源目錄管理賬號的RAM用戶授予系統權限策略AliyunResourceCenterFullAccess后，該RAM用戶就能跨賬號搜索資源。

管理資源組的權限

• 資源組創建權限

  為RAM用戶授予創建資源組的權限（ram:CreateResourceGroup）后，該RAM用戶就能在資源中心創建資源組。

• 跨資源組轉移資源（轉組）權限

  為RAM用戶授予目標云資源的轉組權限后，該RAM用戶就能在資源中心進行目標云資源的轉組操作。

例如：為RAM用戶授予以下自定義權限策略后，該RAM用戶就能在資源中心創建資源組、對VPC資源進行轉組。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateResourceGroup",
        "vpc:MoveResourceGroup"
      ],
      "Resource": "*"
    }
  ]
}

管理云資源標簽的權限

為RAM用戶授予標簽系統權限策略AliyunTagAdministratorAccess后，該RAM用戶就可以在資源中心為云資源綁定和解綁標簽。