本文描述Elastic Compute Service支援的所有系統權限原則及其對應的許可權描述,供您授權 RAM 身份時參考。
什麼是系統權限原則
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。阿里雲存取控制(RAM)產品提供了兩種類型的權限原則:系統策略和自訂策略。系統策略統一由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。自訂策略由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。在產品迭代過程中,Elastic Compute Service會向系統策略中添加新的許可權,用來支援新的功能和能力。系統策略的更新將會影響所有授予了該策略的 RAM 身份,包括 RAM 使用者、RAM 使用者組和 RAM 角色。有關 RAM 權限原則的更多資訊,請參閱權限原則概覽。
產品系統策略旨在協助使用者快速入門,僅需簡單配置即可通過控制台訪問該產品及其依賴產品。雖然系統策略包含的許可權同樣適用於 OpenAPI 或 CLI 等訪問方式,但為了提高安全性,我們推薦您在這些情境下使用自訂策略,按需授予人員及應用特定 API 的存取權限。
系統策略可進一步細分為產品系統策略、服務角色策略和服務關聯角色策略三類。部分雲產品僅提供三類策略中的一類或兩類,請以本文實際展示的策略類型為準。
產品系統策略
AliyunECSAssistantFullAccess
您可以將 AliyunECSAssistantFullAccess 策略授權給RAM身份。本策略定義了管理ECS雲助手服務的許可權。
AliyunECSAssistantReadonlyAccess
您可以將 AliyunECSAssistantReadonlyAccess 策略授權給RAM身份。本策略定義了唯讀訪問ECS雲助手服務的許可權。
AliyunECSExtensionsFullAccess
您可以將 AliyunECSExtensionsFullAccess 策略授權給RAM身份。本策略定義了管理ECS Extensions服務的許可權。
AliyunECSFullAccess
您可以將 AliyunECSFullAccess 策略授權給RAM身份。本策略定義了管理雲端服務器服務(ECS)的許可權。
AliyunECSNetworkInterfaceManagementAccess
您可以將 AliyunECSNetworkInterfaceManagementAccess 策略授權給RAM身份。本策略定義了管理ECS彈性網卡的許可權。
AliyunECSReadOnlyAccess
您可以將 AliyunECSReadOnlyAccess 策略授權給RAM身份。本策略定義了唯讀訪問雲端服務器服務(ECS)的許可權。
AliyunECSWorkbenchFullAccess
您可以將 AliyunECSWorkbenchFullAccess 策略授權給RAM身份。本策略定義了使用ECS-Workbench的完整許可權。
服務角色策略
AliyunECSCloudBoxImageImportDefaultRolePolicy
AliyunECSCloudBoxImageImportDefaultRolePolicy 是服務角色 AliyunECSCloudBoxImageImportDefaultRole 專用的授權策略,ECS使用此角色來匯入雲盒本地OSS鏡像。請勿將本策略授權給服務角色之外的RAM身份。如果產品提供精確授權的能力,請嚴格參考產品提供的協助文檔進行操作。
AliyunOOSPrivateCloudDefaultRolePolicy
AliyunOOSPrivateCloudDefaultRolePolicy 是服務角色 AliyunOOSPrivateCloudDefaultRole 專用的授權策略,ECS使用此角色來訪問您在其他雲產品中的資源。請勿將本策略授權給服務角色之外的RAM身份。如果產品提供精確授權的能力,請嚴格參考產品提供的協助文檔進行操作。
服務關聯角色策略
AliyunServiceRolePolicyForECSLicenseConversion
Elastic Compute Service使用服務關聯角色 AliyunServiceRoleForECSLicenseConversion 來訪問您在其他雲產品中的資源。AliyunServiceRolePolicyForECSLicenseConversion 是 AliyunServiceRoleForECSLicenseConversion 專用的授權策略。本策略由Elastic Compute Service定義和使用,您不能修改或刪除,請勿將其授權給服務關聯角色之外的RAM身份。
AliyunServiceRolePolicyForECSPrivateCloudConsole
Elastic Compute Service使用服務關聯角色 AliyunServiceRoleForECSPrivateCloudConsole 來訪問您在其他雲產品中的資源。AliyunServiceRolePolicyForECSPrivateCloudConsole 是 AliyunServiceRoleForECSPrivateCloudConsole 專用的授權策略。本策略由Elastic Compute Service定義和使用,您不能修改或刪除,請勿將其授權給服務關聯角色之外的RAM身份。
AliyunServiceRolePolicyForECSSecurityGroupSnapshot
Elastic Compute Service使用服務關聯角色 AliyunServiceRoleForECSSecurityGroupSnapshot 來訪問您在其他雲產品中的資源。AliyunServiceRolePolicyForECSSecurityGroupSnapshot 是 AliyunServiceRoleForECSSecurityGroupSnapshot 專用的授權策略。本策略由Elastic Compute Service定義和使用,您不能修改或刪除,請勿將其授權給服務關聯角色之外的RAM身份。
AliyunServiceRolePolicyForEcsInsight
Elastic Compute Service使用服務關聯角色 AliyunServiceRoleForEcsInsight 來訪問您在其他雲產品中的資源。AliyunServiceRolePolicyForEcsInsight 是 AliyunServiceRoleForEcsInsight 專用的授權策略。本策略由Elastic Compute Service定義和使用,您不能修改或刪除,請勿將其授權給服務關聯角色之外的RAM身份。
授權操作參考
RAM 身份預設沒有任何許可權,需要由阿里雲帳號管理員為其授權後才能訪問阿里雲帳號下的資源。為保證資源的資料安全,建議您遵循最小授權原則為允許訪問雲資源的身份授予恰好夠用的許可權。授權的詳細操作請參見: