通過資源鑒權分權管理Auto Scaling資源 - Auto Scaling

在協同使用資源的情境下，根據實際的職責許可權，您可以為RAM使用者授予不同的許可權實現分權管理，從而提高管理效率，降低資訊泄露風險。本文為您介紹如何通過資源鑒權控制RAM使用者的許可權，使RAM使用者可以對不同Auto Scaling資源有不同的訪問和操作許可權。

背景資訊

阿里雲的使用者權限是基於權限原則為管理主體的，您可以根據不同職責（角色）配置RAM相關策略。在策略中，您可以自訂資源層級的授權，然後將一個或多個權限原則附加到RAM使用者或使用者組。關於權限原則的更多資訊，請參見權限原則概覽。
存取控制不支援資源層級的鑒權，會導致您在Auto Scaling資源管理方面的諸多不便，例如，大粒度地對某個地區的資源進行許可權控制時受限。而採用Auto Scaling設定資源層級的鑒權，會使得您在管理Auto Scaling資源時更加地靈活。
說明
如果您需要瞭解存取控制的更多資訊，請參見什麼是存取控制。

樣本情境說明

本文以下列情境作為樣本，說明如何?資源鑒權。

情境描述

許可權說明

情境1：先建立伸縮組，再設定資源層級的鑒權策略

例如：

伸縮組1：例如，伸縮組名稱為asg-001，且伸縮組ID為asg-bp17np35ywjwh2cx****。
伸縮組2：例如，伸縮組名稱為asg-002，且伸縮組ID為asg-bp1c5pl2qc6ozgbl****。

只允許操作伸縮組1的部分資源，不允許操作伸縮組2的任何資源。

情境2：先設定資源層級的鑒權策略，再建立伸縮組

只允許建立某個地區（例如杭州地區）的伸縮組，不允許建立其他地區（例如北京地區）的伸縮組。

不支援資源鑒權的API介面說明

為某RAM使用者授予資源鑒權的權限原則後，該RAM使用者調用下列API介面時不支援使用資源鑒權管理Auto Scaling。

介面	不支援資源鑒權
DescribeRegions	是
定時任務未綁定伸縮組時： CreateScheduledTask ModifyScheduledTask DescribeScheduledTasks DeleteScheduledTask	是
警示任務未綁定伸縮組時： CreateAlarm DescribeAlarms ModifyAlarm EnableAlarm DeleteAlarm	是

操作步驟

說明

操作前，請確保已建立RAM使用者。若未建立請您先建立RAM使用者，具體操作，請參見建立RAM使用者。

情境1：先建立伸縮組，再設定資源層級的鑒權策略

建立2個伸縮組。
具體操作，請參見配置伸縮組。
- 伸縮組1：例如，伸縮組名稱為asg-001，且伸縮組ID為asg-bp17np35ywjwh2cx****。
- 伸縮組2：例如，伸縮組名稱為asg-002，且伸縮組ID為asg-bp1c5pl2qc6ozgbl****。
登入RAM控制台。

建立自訂權限原則。

具體操作，請參見建立自訂權限原則。

本步驟中的自訂權限原則可實現允許您在Auto Scaling控制台或者調用API對該伸縮組asg-001進行查看、修改和刪除等操作，而不能對asg-002進行相應操作。

自訂權限原則樣本如下：

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ess:*",
            "Resource": "acs:ess:cn-hangzhou:160998252992****:scalinggroup/asg-bp17np35ywjwh2cx****"
        },
        {
            "Effect": "Deny",
            "Action": "ess:*",
            "Resource": "acs:ess:cn-hangzhou:160998252992***8:scalinggroup/asg-bp1c5pl2qc6ozgbl****"
        },
        {
           "Effect": "Allow",
           "Action": [
                   "ess:DescribeRegions",
                   "ess:CreateScheduledTask",
                   "ess:ModifyScheduledTask",
                   "ess:DescribeScheduledTasks",
                   "ess:DeleteScheduledTask",
                   "ess:CreateAlarm",
                   "ess:DescribeAlarms",
                   "ess:ModifyAlarm",
                   "ess:EnableAlarm",
                   "ess:DeleteAlarm"
                ],
            "Resource": "*"
        }
    ]
}

將自訂權限原則授權給您希望控制訪問的RAM使用者。
具體操作，請參見為RAM使用者授權。
在Auto Scaling控制台或者調用API對asg-001和asg-002進行查看、修改和刪除操作。
您可以對伸縮組asg-001進行正常的查看、修改和刪除等操作，而無法對asg-002進行相關操作，錯誤提示頁面如下圖所示，表示資源鑒權已生效。

情境2：先設定資源層級的鑒權策略，再建立伸縮組

登入RAM控制台。

建立自訂權限原則。

具體操作，請參見建立自訂權限原則。

本步驟中的自訂權限原則可實現在華東1（杭州）地區，您可以在Auto Scaling控制台或者調用API在該地區下建立伸縮組。而在華北2（北京）地區無法進行相應操作。

自訂權限原則樣本如下：

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ess:*",
            "Resource": "acs:ess:cn-hangzhou:160998252992****:*"
        },
        {
            "Effect": "Deny",
            "Action": "ess:*",
            "Resource": "acs:ess:cn-beijing:160998252992****:*"
        },
        {  
           "Effect": "Allow",
           "Action": [
                   "ess:DescribeRegions",
                   "ess:CreateScheduledTask",
                   "ess:ModifyScheduledTask",
                   "ess:DescribeScheduledTasks",
                   "ess:DeleteScheduledTask",
                   "ess:CreateAlarm",
                   "ess:DescribeAlarms",
                   "ess:ModifyAlarm",
                   "ess:EnableAlarm",
                   "ess:DeleteAlarm"
                ],
            "Resource": "*"                       
        }
    ]
}

將自訂策略授權給您希望控制訪問的RAM使用者。
具體操作，請參見為RAM使用者授權。
通過Auto Scaling控制台或者調用API建立伸縮組。
您可以在華東1（杭州）地區下建立伸縮組，而在華北2（北京）地區無法建立伸縮組，錯誤提示頁面如下圖所示，表示資源鑒權已生效。

Auto Scaling：通過資源鑒權管理Auto Scaling

背景資訊

樣本情境說明

不支援資源鑒權的API介面說明

操作步驟

情境1：先建立伸縮組，再設定資源層級的鑒權策略

情境2：先設定資源層級的鑒權策略，再建立伸縮組

相關文檔