建立ECI資源時,您可以指定所屬的資源群組,以便對資源進行分組管理。本文介紹如何通過資源群組控制RAM使用者的許可權,實現RAM使用者只能操作特定資源群組內的ECI資源。
背景資訊
資源群組是在阿里雲帳號下進行資源分組管理的一種機制,可以協助您解決單個阿里雲帳號內的資源分組和授權管理的問題。資源群組的使用說明如下:
一個資源群組可以包含不同地區的雲資源。例如:資源群組A中可以包含華北2(北京)地區的執行個體和華東1(杭州)地區的執行個體。
同一個帳號內不同資源群組中,相同地區的資源可以進行關聯。例如:資源群組A中華北2(北京)地區的執行個體可以加入到資源群組B中華北2(北京)地區的VPC內。
資源群組會繼承RAM使用者的全域許可權,即:如果您授權RAM使用者管理所有的阿里雲資源,那麼阿里雲帳號下所有的資源群組都會在該RAM使用者中顯示出來。
應用情境
每個ECI資源(ECI執行個體、鏡像緩衝)必須且只能屬於一個資源群組。建立ECI資源時,您可以指定資源群組,如果沒有指定資源群組,則該資源將加入到預設資源群組中。
您可以將不同用途的ECI資源分別加入到多個資源群組中,並為每個資源群組設定不同的RAM使用者作為管理員,從而實現分組、分權管理ECI資源。
例如:如果您的ECI執行個體分別用於生產環境和測試環境,您可以將ECI執行個體分別加入到生產資源群組和測試資源群組中,授權RAM使用者A可以操作生產資源群組中的ECI執行個體,授權RAM使用者B可以操作測試資源群組中的ECI執行個體。配置完成後,當產品進行測試時,由RAM使用者B操作測試資源群組中的ECI執行個體。當產品需要上線時,由RAM使用者A對生產資源群組中的ECI執行個體進行操作。兩套環境由不同的RAM使用者進行管理,可以很好地控制許可權,避免不必要的誤操作。
配置流程
按以下情境為樣本,建立多個資源群組對ECI資源進行分組,並授權RAM使用者只能操作特定資源群組的ECI資源:
新增兩個資源群組:生產資源群組、測試資源群組。
新增兩個RAM使用者:RAM使用者A具備生產環境的AliyunECIFullAccess許可權,RAM使用者B具備測試環境的AliyunECIFullAccess許可權。
說明AliyunECIFullAccess是RAM提供的系統策略,包含操作ECI資源的所有許可權。
配置流程如下:
建立兩個資源群組。具體操作,請參見建立資源群組。
建立兩個RAM使用者。具體操作,請參見建立RAM使用者。
分別為兩個資源群組設定對應的RAM使用者作為管理員。具體操作,請參見添加RAM身份並授權。
授權時,授權主體請輸入RAM使用者,許可權可以選擇AliyunECIFullAccess許可權。
指定資源群組建立ECI執行個體。
如果通過Elastic Container Instance售賣頁建立,請在其他設定(選填)頁面指定資源群組。
如果調用CreateContainerGroup建立,請傳入資源群組ID(ResourceGroupId)。
預期結果
按配置流程配置分組、分權管理ECI執行個體後,預期結果如下:
在Elastic Container Instance控制台上,RAM使用者只能查看和操作有許可權的資源群組中的ECI資源。
調用各API介面時,RAM使用者只能查看和操作有許可權的資源群組中的ECI資源。例如:
CreateContainerGroup
建立ECI執行個體時,必須要傳入正確的資源群組ID,才可以通過鑒權;如果沒有傳入資源群組ID,或者傳入的資源群組ID不正確,則鑒權不通過。
說明如果RAM使用者具備預設資源的許可權,則無需傳入資源群組ID,ECI執行個體將預設將加入到預設資源群組中。
DescribeContainerGroups
查詢ECI執行個體資訊時,必須要傳入正確的資源群組ID,才可以通過鑒權;如果沒有傳入資源群組ID,或者傳入的資源群組ID不正確,則鑒權不通過。
說明如果傳入的ECI執行個體ID與資源群組ID不匹配,即ECI執行個體不屬於該資源群組時,即使資源群組ID正確,也無法查看ECI執行個體的資訊。
DescribeContainerLog
查詢ECI執行個體的日誌時,無需傳入資源群組ID,系統將自動檢索ECI執行個體所屬的資源群組並進行鑒權。
DeleteContainerGroup
刪除ECI執行個體時,無需傳入資源群組ID,系統將自動檢索ECI執行個體所屬的資源群組並進行鑒權。