全部產品
Search
文件中心

Elastic Container Instance:通過資源群組實現RAM使用者鑒權

更新時間:Jul 06, 2024

建立ECI資源時,您可以指定所屬的資源群組,以便對資源進行分組管理。本文介紹如何通過資源群組控制RAM使用者的許可權,實現RAM使用者只能操作特定資源群組內的ECI資源。

背景資訊

資源群組是在阿里雲帳號下進行資源分組管理的一種機制,可以協助您解決單個阿里雲帳號內的資源分組和授權管理的問題。資源群組的使用說明如下:

  • 一個資源群組可以包含不同地區的雲資源。例如:資源群組A中可以包含華北2(北京)地區的執行個體和華東1(杭州)地區的執行個體。

  • 同一個帳號內不同資源群組中,相同地區的資源可以進行關聯。例如:資源群組A中華北2(北京)地區的執行個體可以加入到資源群組B中華北2(北京)地區的VPC內。

  • 資源群組會繼承RAM使用者的全域許可權,即:如果您授權RAM使用者管理所有的阿里雲資源,那麼阿里雲帳號下所有的資源群組都會在該RAM使用者中顯示出來。

應用情境

每個ECI資源(ECI執行個體、鏡像緩衝)必須且只能屬於一個資源群組。建立ECI資源時,您可以指定資源群組,如果沒有指定資源群組,則該資源將加入到預設資源群組中。

說明

對於已建立的ECI資源,如果想要修改資源群組,可至資源管理主控台資源群組頁面進行操作。具體操作,請參見跨資源群組轉移資源

您可以將不同用途的ECI資源分別加入到多個資源群組中,並為每個資源群組設定不同的RAM使用者作為管理員,從而實現分組、分權管理ECI資源。

例如:如果您的ECI執行個體分別用於生產環境和測試環境,您可以將ECI執行個體分別加入到生產資源群組和測試資源群組中,授權RAM使用者A可以操作生產資源群組中的ECI執行個體,授權RAM使用者B可以操作測試資源群組中的ECI執行個體。配置完成後,當產品進行測試時,由RAM使用者B操作測試資源群組中的ECI執行個體。當產品需要上線時,由RAM使用者A對生產資源群組中的ECI執行個體進行操作。兩套環境由不同的RAM使用者進行管理,可以很好地控制許可權,避免不必要的誤操作。

配置流程

按以下情境為樣本,建立多個資源群組對ECI資源進行分組,並授權RAM使用者只能操作特定資源群組的ECI資源:

  • 新增兩個資源群組:生產資源群組、測試資源群組。

  • 新增兩個RAM使用者:RAM使用者A具備生產環境的AliyunECIFullAccess許可權,RAM使用者B具備測試環境的AliyunECIFullAccess許可權。

    說明

    AliyunECIFullAccess是RAM提供的系統策略,包含操作ECI資源的所有許可權。

配置流程如下:

  1. 建立兩個資源群組。具體操作,請參見建立資源群組

  2. 建立兩個RAM使用者。具體操作,請參見建立RAM使用者

  3. 分別為兩個資源群組設定對應的RAM使用者作為管理員。具體操作,請參見添加RAM身份並授權

    授權時,授權主體請輸入RAM使用者,許可權可以選擇AliyunECIFullAccess許可權。

  4. 指定資源群組建立ECI執行個體。

    • 如果通過Elastic Container Instance售賣頁建立,請在其他設定(選填)頁面指定資源群組。

    • 如果調用CreateContainerGroup建立,請傳入資源群組ID(ResourceGroupId)。

預期結果

按配置流程配置分組、分權管理ECI執行個體後,預期結果如下:

  • 在Elastic Container Instance控制台上,RAM使用者只能查看和操作有許可權的資源群組中的ECI資源。

  • 調用各API介面時,RAM使用者只能查看和操作有許可權的資源群組中的ECI資源。例如:

    • CreateContainerGroup

      建立ECI執行個體時,必須要傳入正確的資源群組ID,才可以通過鑒權;如果沒有傳入資源群組ID,或者傳入的資源群組ID不正確,則鑒權不通過。

      說明

      如果RAM使用者具備預設資源的許可權,則無需傳入資源群組ID,ECI執行個體將預設將加入到預設資源群組中。

    • DescribeContainerGroups

      查詢ECI執行個體資訊時,必須要傳入正確的資源群組ID,才可以通過鑒權;如果沒有傳入資源群組ID,或者傳入的資源群組ID不正確,則鑒權不通過。

      說明

      如果傳入的ECI執行個體ID與資源群組ID不匹配,即ECI執行個體不屬於該資源群組時,即使資源群組ID正確,也無法查看ECI執行個體的資訊。

    • DescribeContainerLog

      查詢ECI執行個體的日誌時,無需傳入資源群組ID,系統將自動檢索ECI執行個體所屬的資源群組並進行鑒權。

    • DeleteContainerGroup

      刪除ECI執行個體時,無需傳入資源群組ID,系統將自動檢索ECI執行個體所屬的資源群組並進行鑒權。