全部產品
Search
文件中心

Elastic Container Instance:為RAM使用者授權

更新時間:Dec 11, 2024

預設情況下,您可以使用阿里雲帳號完整操作該帳號下的ECI資源,但如果您使用的是RAM使用者,則需要進行授權,RAM使用者才可以操作ECI資源。本文介紹如何為RAM使用者授權。

前提條件

已建立RAM使用者。具體操作,請參見建立RAM使用者

許可權說明

為RAM使用者授權時,您可以根據使用需求為其授予相應的權限原則。ECI相關的許可權如下:

許可權

說明

AliyunECIReadOnlyAccess

唯讀訪問ECI資源的許可權。預設提供的系統權限原則,包含的許可權如下:

  • eci:Describe*:擷取ECI相關資源清單

  • eci:List*:擷取ECI相關資源清單

  • ecs:DescribeSecurityGroups:擷取安全性群組列表

  • vpc:DescribeVSwitches:擷取交換器列表

  • vpc:DescribeVpcs:擷取VPC列表

AliyunECIFullAccess

管理ECI資源的許可權。預設提供的系統權限原則,包含的許可權如下:

  • eci:ECI相關資源的所有操作許可權

  • ecs:DescribeSecurityGroups:擷取安全性群組列表

  • vpc:DescribeVSwitches:擷取交換器列表

  • vpc:DescribeVpcs:擷取VPC列表

  • vpc:DescribeEipAddresses:擷取EIP列表

在ECI控制台操作時所需的其他許可權

如果您需要使用ECI控制台進行操作,則除了AliyunECIFullAccess預設的許可權外,還需要以下許可權:

  • ram:ListRoles:擷取執行個體的RAM角色

  • nas:DescribeFileSystems:擷取NAS檔案系統列表

  • oss:ListBuckets:擷取OSS Bucket列表

  • vpc:DescribeCommonBandwidthPackages:擷取共用頻寬包列表

  • cr:GetRepoList:擷取鏡像倉庫列表

  • cr:GetRepoTags:擷取鏡像Tag

  • cr:GetImageManifest:擷取鏡像詳情

  • cr:SearchRepo:搜尋鏡像倉庫

操作步驟

  1. 使用阿里雲帳號登入RAM控制台

  2. 如果想要為RAM使用者授予在控制台操作ECI資源的許可權,您需要建立對應的自訂權限原則。

    1. 在左側導覽列選擇許可權管理 > 權限原則

    2. 單擊建立權限原則

    3. 選擇指令碼編輯頁簽,複製以下指令碼到策略內容中,然後單擊確定

      {
          "Statement": [
              {
                  "Action": "ram:ListRoles",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "nas:DescribeFileSystems",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "oss:ListBuckets",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "vpc:DescribeCommonBandwidthPackages",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": [
                      "cr:GetRepoList",
                      "cr:GetRepoTags",
                      "cr:GetImageManifest",
                      "cr:SearchRepo"
                  ],
                  "Effect": "Allow",
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    4. 輸入策略名稱稱,單擊確定

  3. 根據需要為RAM使用者添加許可權。

    1. 在左側導覽列選擇身份管理 > 使用者

    2. 找到待授權的RAM使用者,單擊對應操作列中的添加許可權

    3. 在彈出面板,完成相關配置。

      相關配置說明如下表所示。

      參數

      描述

      資源範圍

      根據需要選擇許可權的生效範圍:

      • 帳號層級:在當前阿里雲帳號內生效。

      • 資源群組層級:在指定的資源群組內生效。

      授權主體

      需要授權的RAM使用者。系統將自動填入您選擇的RAM使用者,您也可以手動添加其它使用者。

      權限原則

      根據需要選擇對應的許可權。常見情境如下:

      • 只查看ECI資源:在系統策略中選擇AliyunECIReadOnlyAccess。

      • 通過OpenAPI操作ECI資源:在系統策略中選擇AliyunECIFullAccess。

      • 通過控制台操作ECI資源:在系統策略中選擇AliyunECIFullAccess,在自訂策略中選擇第2步建立的自訂策略。

    4. 單擊確認新增授權,然後按照頁面提示完成後續操作。

相關文檔

如果您想進一步控制RAM使用者操作ECI資源的許可權,可以通過資源群組和標籤實現分組分許可權管理。更多資訊,請參見: