通過資源鑒權(quán)實(shí)現(xiàn)云電腦精細(xì)化管理
在協(xié)同使用資源的場景下,根據(jù)實(shí)際的職責(zé)權(quán)限,您可以為RAM用戶授予不同的權(quán)限實(shí)現(xiàn)分權(quán)管理,從而提高管理效率,降低信息泄露風(fēng)險。本文介紹如何通過資源鑒權(quán)控制RAM用戶的權(quán)限,使RAM用戶可以對不同的云電腦資源有不同的訪問和操作權(quán)限。
前提條件
已創(chuàng)建RAM用戶。關(guān)于如何創(chuàng)建RAM用戶,請參見創(chuàng)建RAM用戶。
背景信息
阿里云的用戶權(quán)限以權(quán)限策略為管理主體,您可以根據(jù)不同職責(zé)(角色)配置RAM相關(guān)權(quán)限策略。在權(quán)限策略設(shè)計中您可以自定義資源維度的策略,然后將一個或多個權(quán)限策略授予RAM用戶或用戶組。關(guān)于權(quán)限策略的詳細(xì)信息,請參見權(quán)限策略概覽。
訪問控制支持操作級別的授權(quán)粒度;而資源級別的鑒權(quán),可以讓您更靈活地管理云電腦資源。關(guān)于訪問控制的詳細(xì)信息,請參見什么是訪問控制。
使用限制
僅支持以下地域:
地域 | 備注 |
華東1(杭州) | cn-hangzhou |
華東2(上海) | cn-shanghai |
華南1(深圳) | cn-shenzhen |
華北2(北京) | cn-beijing |
新加坡 | ap-southeast-1 |
日本(東京) | ap-northeast-1 |
菲律賓(馬尼拉) | ap-southeast-6 |
應(yīng)用場景示例
本文以下列場景為例,說明如何實(shí)現(xiàn)資源鑒權(quán)。
場景描述 | 權(quán)限說明 |
場景1:先創(chuàng)建云電腦,然后設(shè)置對應(yīng)的資源鑒權(quán)策略。例如:創(chuàng)建2臺云電腦
| 只允許操作云電腦1(desktop1)的部分資源,不允許操作云電腦2(desktop2)的任何資源。 |
場景2:先設(shè)置對應(yīng)的資源鑒權(quán)策略,再創(chuàng)建云電腦。 | 只允許在某個地域(例如杭州)創(chuàng)建云電腦,不允許在其他地域(例如上海)創(chuàng)建云電腦。 |
場景一:先創(chuàng)建云電腦再設(shè)置對應(yīng)的資源鑒權(quán)策略
創(chuàng)建2臺云電腦。具體操作,請參見創(chuàng)建云電腦。
您可以將2臺云電腦分別命名為desktop1和desktop2。
創(chuàng)建自定義權(quán)限策略。具體操作,請參見創(chuàng)建自定義權(quán)限策略。
本步驟中設(shè)計的自定義權(quán)限策略允許您在無影云電腦控制臺或者調(diào)用API對云電腦desktop1進(jìn)行查看、修改和刪除等操作,不允許對云電腦2執(zhí)行相應(yīng)操作。
權(quán)限策略示例如下:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-akk6qnr7cc9yq****" }, { "Effect": "Deny", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-3d3y5w4vd56a8****" }, { "Action": "*", "Effect": "Allow", "Resource": [ "acs:ecd:*:*:officesite/*", "acs:ecd:*:*:ecdpolicy/*", "acs:ecd:*:*:ecdimage/*", "acs:ecd:*:*:ecdbundle/*" ] }, { "Effect": "Allow", "Action": [ "ecd:DescribeRegions" ], "Resource": "*" } ] }將自定義權(quán)限策略授予給您希望控制訪問的RAM用戶。具體操作,請參見為RAM用戶授權(quán)。
在無影云電腦控制臺或者調(diào)用API對desktop1和desktop2進(jìn)行查看、修改和刪除操作。
您可以對云電腦desktop1進(jìn)行正常的查看、修改和刪除等操作,而無法對云電腦desktop2執(zhí)行相關(guān)操作,且彈出如下提示頁面。此時說明資源鑒權(quán)已生效。
場景二:先設(shè)置對應(yīng)的資源鑒權(quán)策略再創(chuàng)建云電腦
登錄RAM控制臺。
創(chuàng)建自定義權(quán)限策略。具體操作,請參見創(chuàng)建自定義權(quán)限策略。
本步驟中設(shè)計的自定義權(quán)限策略允許您在上海地域管理云電腦,即您在無影云電腦控制臺或者調(diào)用API在上海地域創(chuàng)建、查看或者刪除云電腦,而在杭州地域無法執(zhí)行相關(guān)操作。
權(quán)限策略設(shè)計如下:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:*" }, { "Effect": "Deny", "Action": "ecd:*", "Resource": "acs:ess:cn-hangzhou:128985087662****:*" }, { "Action": "*", "Effect": "Allow", "Resource": [ "acs:ecd:*:*:officesite/*", "acs:ecd:*:*:ecdpolicy/*", "acs:ecd:*:*:ecdimage/*", "acs:ecd:*:*:ecdbundle/*" ] }, { "Effect": "Allow", "Action": [ "ecd:DescribeRegions" ], "Resource": "*" } ] }將自定義權(quán)限策略授予給您希望控制訪問的RAM用戶。具體操作,請參見為RAM用戶授權(quán)。
通過無影云電腦控制臺或者調(diào)用API創(chuàng)建云電腦。
您可以在上海地域創(chuàng)建、查看或者刪除云電腦,而在杭州地域無法執(zhí)行相關(guān)操作,且彈出如下提示頁面。此時說明資源鑒權(quán)已生效。
