使用RAM使用者實現對ECS的存取控制 - Elastic Compute Service

阿里雲的存取控制RAM（Resource Access Management）提供了強大的細粒度許可權管理功能，適用於企業中多個部門或角色需要訪問ECS資源的情況。為了保障敏感資訊和關鍵商務程序的安全，您可以根據各部門或角色的具體職責分配不同的存取權限。通過實施許可權分離策略，不僅能顯著提升管理效率，還能有效降低資訊泄露的風險。本文介紹如何通過控制RAM使用者的許可權，以實現對Elastic Compute Service資源的存取控制。

情境介紹

假設您公司是使用ECS來託管應用程式和服務。其中，IT架構規劃由管理員主導，他們對所有ECS資源擁有控制權，包括但不限於建立資源、調整資源分派及安全性原則配置等關鍵職責。開發人員負責專案的持續迭代和功能創新，並承擔將專案部署到ECS上的任務。營運人員則承擔起保障系統正常運轉的責任，通過建立快照、建立鏡像、執行相關指令碼等方式維護現有服務。

針對這三類人員的需求，我們將設計如下許可權方案：

管理員：可以擁有建立、刪除ECS執行個體及修改安全性群組規則等所有ECS操作許可權。
開發人員：能夠查看所有ECS執行個體的資訊，但不能修改任何設定，同時可以登入ECS執行個體進行操作。
營運人員：具備建立部分資源的許可權，但不具備刪除資源的許可權，如建立快照和鏡像、執行指令碼等任務。

操作步驟

1. 建立RAM使用者

請使用您的阿里雲主帳號登入RAM控制台，建立三個RAM使用者：管理員（Manager）、開發人員（Developer）和營運人員（Operator），以便為不同人員分配合適的許可權。注意在建立RAM使用者時選擇允許控制台登入。關於如何建立RAM使用者，請參見建立RAM使用者。

2. 建立權限原則

建立三套自訂權限原則，以實現更精細的存取控制與管理。具體操作，請參見建立自訂權限原則。

Manager_Policy

適用於管理員（Manager）的權限原則，定義了操作ECS的所有許可權。

{
    "Version": "1",
    "Statement": [
        {
            "Action": "ecs:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:CheckCanAllocateVpcPrivateIpAddress",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches",
                "bss:ModifyAgreementRecord"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Developer_Policy

適用於開發人員（Developer）的權限原則，定義了部分資源的查看許可權，但無建立和修改許可權，同時支援通過Workbench遠端連線登入到ECS。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:List*",
                "ecs:Describe*",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches",
                "ecs-workbench:LoginInstance"
            ],
            "Resource": "*"
        }
    ]
}

Operator_Policy

適用於營運人員（Operator）的權限原則，定義了部分資源的查看許可權及建立鏡像、快照、執行命令的許可權。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:Describe*",
                "ecs:AttachDisk",
                "ecs:CreateSnapshot",
                "ecs:CreateImage",
                "ecs:RunCommand",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

3. 為RAM使用者授權

為RAM使用者指派不同自訂權限原則，以精準控制其對特定資源的訪問和操作許可權。當RAM使用者出現異常操作時，您也可解除授權或收縮許可權範圍，實現對風險的響應與處理。更多關於授權的詳細操作，請參見為RAM使用者授權。

RAM使用者	要授與權限策略
管理員（Manager）	Manager_Policy
開發人員（Developer）	Developer_Policy
營運人員（Operator）	Operator_Policy

4. 測試存取控制是否生效

進入RAM使用者登入頁，請分別使用前面建立的三個RAM使用者登入。
進入ECS控制台，執行查看ECS執行個體列表、建立ECS執行個體及建立鏡像等操作，驗證存取控制是否生效。
管理員（Manager）
- 可以查看ECS列表。
- 可以建立ECS。
- 可以刪除ECS。
- 可以建立鏡像。
開發人員（Developer）
- 可以查看ECS列表。
- 沒有許可權建立ECS。
- 沒有許可權建立鏡像。
- 可以通過Workbench遠端連線登入到ECS，登入後可以使用命令將專案部署到ECS上。
營運人員（Operator）
- 可以查看ECS列表。
- 沒有許可權建立ECS。
- 可以建立鏡像。

Elastic Compute Service：使用RAM使用者實現對ECS的存取控制

情境介紹

操作步驟

1. 建立RAM使用者

2. 建立權限原則

Manager_Policy

Developer_Policy

Operator_Policy

3. 為RAM使用者授權

4. 測試存取控制是否生效

管理員（Manager）

開發人員（Developer）

營運人員（Operator）

相關文檔