使用RAM使用者(子帳號)登入計算巢控制台時,RAM使用者(子帳號)預設沒有任何許可權,您需要為之添加許可權,否則會出現彈窗報錯。本文介紹如何為RAM使用者(子帳號)添加計算巢服務許可權。
前提條件
已建立RAM使用者(子帳號)。具體操作,請參見建立RAM使用者。
背景資訊
RAM使用者是由阿里雲帳號(主帳號)或者具有管理員權限的其他RAM使用者(子帳號)或RAM角色建立,建立成功後,RAM使用者(子帳號)歸屬於阿里雲帳號,它並非獨立的阿里雲帳號。
RAM使用者(子帳號)擁有獨立的登入密碼或訪問密碼,且一個阿里雲帳號下可以建立多個RAM使用者(子帳號)。
RAM使用者(子帳號)必須在獲得授權後,才能登入控制台並建立服務執行個體。您可以根據業務情境為其授予相應的權限原則。
若您只登入計算巢控制台,則只需要擷取計算巢的系統許可權即可,計算巢提供以下兩種系統權限原則:
AliyunComputeNestUserFullAccess:管理計算巢服務(ComputeNest)的使用者側許可權,該許可權可以查看使用者側的視圖,也可以對使用者側的視圖進行編輯。
AliyunComputeNestUserReadOnlyAccess:唯讀訪問計算巢服務(ComputeNest)的使用者側許可權,該許可權僅能查看使用者側的視圖,不能編輯。
若您需要建立服務執行個體,則管理計算巢服務的使用者側許可權(AliyunComputeNestUserFullAccess)外,您還需要擷取雲資源的許可權。雲資源許可權分為必須擷取的許可權和非必須擷取的許可權。
必須擷取的雲資源許可權即建立所有服務執行個體都需要的許可權。必須擷取的雲資源許可權如下:
AliyunVPCFullAccess:管理Virtual Private Cloud的許可權。
AliyunECSFullAccess:管理雲端服務器服務(ECS)的許可權。
AliyunTagAdministratorAccess:管理標籤服務(TAG)和所有阿里雲產品標籤的許可權。
AliyunCloudMonitorFullAccess:管理CloudMonitor(CloudMonitor)的許可權。
AliyunROSFullAccess:管理Resource Orchestration Service服務(ROS)的許可權。
非必須擷取的雲資源許可權即根據服務執行個體的業務需求,需要建立除必須的雲資源外的其他資源。例如,建立服務執行個體時,雲資源需要綁定公網IP時,您需要先擷取公網IP的系統管理權限(AliyunEIPFullAccess),授權的詳細資料,請參考下面的操作步驟。支援RAM的雲端服務,請參見支援RAM的雲端服務。
操作步驟
使用Resource Access Management員登入RAM控制台。
在左側導覽列中,選擇。
在使用者頁面,單擊模板RAM使用者操作列的添加許可權。
在添加許可權頁面,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,計算巢服務常用策略如下:
管理計算巢服務的使用者側許可權:在系統策略中選擇AliyunComputeNestUserFullAccess。
唯讀訪問計算巢服務的使用者側許可權:在系統策略中選擇AliyunComputeNestUserReadOnlyAccess。
單擊確定。
在添加許可權頁面,可以查看許可權添加結果並單擊完成。
