您可以授予RAM使用者不同的RAM策略,從而提升或降低RAM使用者的權限等級,實現更安全可控的訪問,並有效降低阿里雲帳號AccessKey密鑰被泄露的風險。本文介紹了授權步驟,並給出了雲助手相關的RAM策略樣本。
背景資訊
權限原則分為您自行建立的自訂策略和阿里雲提供的系統策略。具體到雲助手,除系統策略外,您可以從地區、ECS執行個體、雲助手命令、受管理的執行個體啟用碼等維度設計自訂策略,並授權給RAM使用者使用,從而靈活控制RAM使用者使用雲助手的許可權。
操作步驟
使用阿里雲帳號(主帳號)建立一個RAM使用者。
具體操作,請參見建立RAM使用者。
使用阿里雲帳號建立一個自訂策略。具體操作,請參見建立自訂權限原則。
常見雲助手功能涉及的自訂策略如下表所示:
雲助手功能
自訂策略樣本
雲助手功能
自訂策略樣本
雲助手
雲助手Agent
雲助手命令
傳送檔案
營運任務執行記錄投遞
受管理的執行個體
會話管理
使用阿里雲帳號為已建立的RAM使用者授予許可權。
具體操作,請參見為RAM使用者授權。
指定您自行建立的自訂策略
指定阿里雲提供的系統策略
AliyunECSAssistantFullAccess:允許RAM使用者管理ECS雲助手服務的許可權。
AliyunECSAssistantReadonlyAccess:允許RAM使用者唯讀訪問ECS雲助手服務的許可權。
您可以在RAM控制台查看系統策略的策略內容等基本資料,具體操作,請參見查看權限原則基本資料。
查看RAM使用者資訊,確認已被授權登入阿里雲管理主控台。
如果未開啟控制台訪問許可權,RAM使用者只能調用API使用雲助手。具體步驟,請參見查看RAM使用者的許可權。
使用RAM使用者登入阿里雲控制台。
具體步驟,請參見RAM使用者登入阿里雲控制台。
使用RAM使用者登入ECS管理主控台雲助手頁面,RAM使用者開始使用雲助手。
雲助手自訂策略樣本
雲助手管理員權限(可讀可寫)
授予以下許可權後,RAM使用者擁有雲助手API的全部查詢和操作許可權。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*",
"acs:ecs:*:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}雲助手查看許可權(唯讀)
授予以下許可權後,RAM使用者擁有雲助手API的全部查詢許可權。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:DescribeCloudAssistant*",
"ecs:DescribeSendFileResults",
"ecs:DescribeManagedInstances",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}設定雲助手的地區限制
通過在權限原則元素的地區欄位指定地區值,可以限制RAM使用者的地區許可權。例如只允許RAM使用者在華東1(杭州)地區使用雲助手。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:instance/*",
"acs:ecs:cn-hangzhou:*:command/*",
"acs:ecs:cn-hangzhou:*:activation/*",
"acs:ecs:cn-hangzhou:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:servicesettings/*"
]
}
]
}雲助手Agent
查詢雲助手Agent安裝狀態
相關API:DescribeCloudAssistantStatus
授予以下許可權後,允許RAM使用者查詢所有ECS執行個體的雲助手Agent安裝狀態。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能查看指定的ECS執行個體的雲助手Agent安裝狀態。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx000a", "acs:ecs:*:*:instance/i-instancexxx000b" ] } ] }
安裝雲助手Agent
相關API:InstallCloudAssistant
授予以下許可權後,允許RAM使用者為任意ECS執行個體安裝雲助手Agent。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能為指定ECS執行個體安裝雲助手Agent。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
雲助手命令自訂策略樣本
查看雲助手命令
相關API:DescribeCommands
授予以下許可權後,允許RAM使用者查看所有雲助手命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }通過在Resource列表中設定命令ID,授予以下許可權後,RAM使用者只能查看指定的命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
刪除雲助手命令
相關API:DeleteCommand
授予以下許可權後,允許RAM使用者刪除所有雲助手命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }通過在Resource列表中設定命令ID,授予以下許可權後,RAM使用者只能刪除指定的命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
建立雲助手命令
相關API:CreateCommand
RAM使用者至少需要以下許可權,才能建立雲助手命令。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateCommand"
],
"Resource": [
"acs:ecs:*:*:command/*"
]
}
]
}修改雲助手命令
相關API:ModifyCommand
授予以下許可權後,允許RAM使用者修改任意雲助手命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能修改指定的命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
執行命令
相關API:InvokeCommand
授予以下許可權後,允許RAM使用者在任意執行個體上執行命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*", "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能在指定的ECS執行個體上執行雲助手命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*", "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }通過在Resource列表中設定命令ID,授予以下許可權後,RAM使用者只能在ECS執行個體上執行指定的命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b", "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定命令ID和執行個體ID,授予以下許可權後,RAM使用者只能在指定的ECS執行個體上執行指定的命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }通過在Condition中增加標籤條件來控制可執行命令的ECS執行個體範圍。例如只允許在帶有標籤
test:tony的ECS執行個體上執行命令。在使用acs:ResourceTag時,資源必須附帶標籤方可使用。例如,ECS執行個體可以綁定標籤,而命令則不具備標籤。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:instance/*" ], "Condition": { "StringEquals": { "acs:ResourceTag/Owner": "zxy" } } }, { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:command/*" ] } ] }
立即執行命令
相關API:RunCommand
如果調用RunCommand時,您指定了參數KeepCommand=true,則需要在Resource列表中添加一行 "acs::ecs:*:*:command/*"。
授予以下許可權後,允許RAM使用者在任意執行個體上立即執行命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能在指定的ECS執行個體上立即執行雲助手命令。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }通過在Condition中增加標籤條件來控制可立即執行命令的ECS執行個體範圍。例如只允許在帶有標籤
test:tony的ECS執行個體上立即執行命令。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunCommand" ], "Resource": "acs:ecs:*:*:instance/*", "Condition": { "StringEquals": { "acs:ResourceTag/test": "tony" } } } ] }
查詢命令執行結果
相關API:DescribeInvocations
授予以下許可權後,允許RAM使用者在任意執行個體上查詢命令執行結果。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能在指定的ECS執行個體上查詢命令執行結果。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/*" ] } ] }通過在Resource列表中設定命令ID,授予以下許可權後,RAM使用者只能在ECS執行個體上查詢指定的命令執行結果。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }通過在Resource列表中設定命令ID和執行個體ID,授予以下許可權後,RAM使用者只能在指定的ECS執行個體上查詢指定的命令執行結果。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }
修改定時任務的執行資訊
相關API:ModifyInvocationAttribute
授予以下許可權後,允許RAM使用者修改任意定時任務的執行資訊,並將任意執行個體加入定時任務。
當您修改了
CommandContent,且調用InvokeCommand或調用RunCommand時設定KeepCommand為true建立任務,將會新增一條命令並長期保留,因此需要在調用ModifyInvocationAttribute前,在Resource列表中添加一行acs:ecs:*:*:command/*。{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] }通過在Resource列表中設定任務ID,授予以下許可權後,RAM使用者只能修改指定任務的執行資訊,並將任意執行個體加入指定任務。
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,允許RAM使用者修改任意定時任務的執行資訊,且只能將指定執行個體加入定時任務。
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] }通過在Resource列表中設定執行個體ID與任務ID,授予以下許可權後,RAM使用者只能修改指定任務的執行資訊,且只能將指定執行個體加入定時任務。
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] }
停止執行任務
相關API:StopInvocation
授予以下許可權後,允許RAM使用者在任意執行個體上停止進行中(Running)的雲助手命令進程。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能在指定的ECS執行個體上停止進行中(Running)的雲助手命令進程。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
在命令中使用OSS普通參數
授予以下許可權後,允許RAM使用者使用雲助手執行包含OSS普通參數的命令。
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:CreateCommand",
"ecs:DescribeCommands",
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:DescribeCloudAssistantStatus",
"oos:GetParameters",
"oos:GetParameter"
],
"Resource": "*"
}
],
"Version": "1"
}在命令中使用OSS加密參數
授予以下許可權後,允許RAM使用者使用雲助手執行包含OSS加密參數的命令。
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:CreateCommand",
"ecs:DescribeCommands",
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:DescribeCloudAssistantStatus",
"oos:GetParameters",
"oos:GetSecretParameters",
"oos:GetParameter",
"oos:GetSecretParameter",
"kms:GetSecretValue"
],
"Resource": "*"
}
],
"Version": "1"
}傳送檔案自訂策略樣本
上傳本地檔案
相關API:SendFile
授予以下許可權後,允許RAM使用者上傳本地檔案到任意ECS執行個體。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能上傳本地檔案到指定的ECS執行個體。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }通過在Condition中增加標籤條件來控制檔案可上傳的ECS執行個體範圍。例如只允許將檔案上傳到帶有標籤
test:tony的ECS執行個體上。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": "acs:ecs:*:*:instance/*", "Condition": { "StringEquals": { "acs:ResourceTag/test": "tony" } } } ] }
查詢檔案上傳結果
相關API:DescribeSendFileResults
授予以下許可權後,允許RAM使用者查詢任意執行個體的檔案上傳結果。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能查詢指定ECS執行個體的檔案上傳結果。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
營運任務執行記錄投遞自訂策略樣本
查詢和修改營運任務執行記錄投遞功能的配置
授予以下許可權後,允許RAM使用者查詢和修改營運任務執行記錄投遞功能的配置。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}查詢營運任務執行記錄投遞功能的配置
授予以下許可權後,允許RAM使用者查詢營運任務執行記錄投遞功能的配置。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}設定營運任務執行記錄投遞功能的地區限制
通過在權限原則元素的地區欄位指定地區值,可以限制RAM使用者的地區層級存取權限。
授予以下許可權後,只允許RAM使用者在華東1(杭州)地區查詢和修改營運任務執行記錄投遞功能的配置。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings", "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] }授予以下許可權後,只允許RAM使用者在華東1(杭州)地區查詢營運任務執行記錄投遞功能的配置。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] }
查詢和修改會話操作記錄投遞功能的配置
授予以下許可權後,允許RAM使用者查詢和修改會話操作記錄投遞功能的配置。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}查詢會話操作記錄投遞功能的配置
授予以下許可權後,允許RAM使用者查詢會話操作記錄投遞功能的配置。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}設定會話操作記錄投遞功能的地區限制
通過在權限原則元素的地區欄位指定地區值,可以限制RAM使用者的地區層級存取權限。
授予以下許可權後,只允許RAM使用者在華東1(杭州)地區查詢和修改會話操作記錄投遞功能的配置。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings", "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] }授予以下許可權後,只允許RAM使用者在華東1(杭州)地區查詢會話操作記錄投遞功能的配置。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] }
查詢OSS儲存空間
使用營運任務執行記錄或會話操作記錄投遞功能時,如果需要投遞到OSS,則需要授予以下許可權,允許RAM使用者查詢OSS儲存空間。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets"
],
"Resource": "*"
}
]
}營運任務執行記錄或會話操作記錄投遞到OSS後,為了便於進行查詢、分析等操作,您還需要瞭解OSS的許可權控制規則。更多資訊,請參見OSS RAM Policy概述和OSS RAM Policy常見樣本。
查詢SLS專案與日誌庫
使用營運任務執行記錄或會話操作記錄投遞功能時,如果需要投遞到SLS,則需要授予以下許可權,允許RAM使用者查詢SLS專案與對應的日誌庫。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:ListProject",
"log:ListLogStores"
],
"Resource": "*"
}
]
}營運任務執行記錄或會話操作記錄投遞到SLS後,為了便於進行查詢、分析等操作,您還需要瞭解SLS的許可權控制規則。更多資訊,請參見SLS鑒權規則概覽。
受管理的執行個體自訂策略樣本
登出受管理的執行個體
相關API:DeregisterManagedInstance
授予以下許可權後,允許RAM使用者登出任意受管理的執行個體。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能登出指定受管理的執行個體。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
查詢受管理的執行個體
相關API:DescribeManagedInstances
授予以下許可權後,允許RAM使用者查詢任意受管理的執行個體的資訊。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能查詢指定受管理的執行個體的資訊。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
建立受管理的執行個體啟用碼
相關API:CreateActivation
RAM使用者至少需要以下許可權,才能建立阿里雲受管理的執行個體啟用碼,用於將非阿里雲伺服器註冊為阿里雲受管理的執行個體。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateActivation"
],
"Resource": [
"acs:ecs:*:*:activation/*"
]
}
]
}禁用受管理的執行個體啟用碼
相關API:DisableActivation
授予以下許可權後,允許RAM使用者禁用任意阿里雲受管理的執行個體啟用碼。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能禁用指定阿里雲受管理的執行個體啟用碼。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
查詢受管理的執行個體啟用碼
相關API:DescribeActivations
授予以下許可權後,允許RAM使用者查詢已建立的受管理的執行個體啟用碼以及啟用碼的使用方式。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeActivations" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能查詢已建立的指定受管理的執行個體啟用碼以及啟用碼的使用方式。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeActivations" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
刪除受管理的執行個體啟用碼
相關API:DeleteActivation
授予以下許可權後,允許RAM使用者刪除任意未被使用的受管理的執行個體啟用碼。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteActivation" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能刪除指定的未被使用的受管理的執行個體啟用碼。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteActivation" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
雲助手Agent升級配置自訂策略樣本
相關API:ModifyCloudAssistantSettings - 修改雲助手服務配置、DescribeCloudAssistantSettings - 查詢雲助手服務配置。
查詢和修改雲助手Agent升級配置
授予以下許可權後,允許RAM使用者查詢和修改雲助手Agent升級配置。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}查詢雲助手Agent升級配置
授予以下許可權後,允許RAM使用者查詢雲助手Agent升級配置。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}Session Manager自訂策略樣本
相關API:StartTerminalSession - 開始終端會話、DescribeTerminalSessions - 查看Session Manager會話記錄。
建立和查詢會話管理(Session Manager)
授予以下許可權後,允許RAM使用者建立和查詢會話管理(Session Manager)。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }通過在Resource列表中設定執行個體ID,授予以下許可權後,RAM使用者只能給指定執行個體建立Session Manager,查詢指定執行個體的Session Manager記錄。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
