Elasticsearch：通過資源群組授權特定執行個體

操作步驟

在建立阿里雲ES執行個體時，如果您的資源群組選擇了預設資源群組，在為RAM使用者授權時，雖然可以選擇指定資源群組，但是由於執行個體建立在預設資源群組下，因此即使選擇了指定資源群組，該資源群組中也沒有對應執行個體。

您需要先為RAM使用者授權整個雲帳號的自訂策略許可權，再建立資源群組並關聯特定資源，最後再為RAM使用者授權指定資源群組的許可權。

步驟一：為RAM使用者添加整個雲帳號的自訂策略許可權

1. 使用Resource Access Management員登入RAM控制台。

2. 建立自訂權限原則。

   具體操作請參見建立自訂權限原則。請參考以下樣本配置權限原則內容：

   {
       "Statement": [
           {
               "Action": [
                   "elasticsearch:*"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/<yourInstanceId>"
           },
           {
               "Action": [
                   "elasticsearch:ListCollectors"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:<yourAccountId>:collectors/*"
           },
           {
               "Action": [
                   "elasticsearch:ListInstance",
                   "elasticsearch:ListSnapshotReposByInstanceId"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "cms:ListAlarm",
                   "cms:DescribeActiveMetricRuleList",
                   "cms:QueryMetricList"
               ],
               "Resource": "*"
           },
           {
               "Action": [
                   "elasticsearch:ListTags"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:*:tags/*"
           },
           {
               "Action": [
                   "elasticsearch:GetEmonProjectList"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:*:emonProjects/*"
           },
           {
               "Action": [
                   "elasticsearch:getEmonUserConfig"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:*:emonUserConfig/*"
           },
          {
          "Action": "ims:*",
          "Effect": "Allow",
          "Resource": "acs:ims::<yourAccountId>:application/*"
          }
       ],
       "Version": "1"
   }

   使用樣本時，您需要替換以下變數值。

   變數	說明
   <yourAccountId>	替換為您的阿里雲帳號ID，不支援萬用字元*。阿里雲帳號ID的擷取方法：滑鼠移至控制台右上方的帳戶圖片上，即可查看到帳號ID。
   <yourInstanceId>	替換為待授權的目標執行個體ID，不支援萬用字元*。擷取方式，請參見查看執行個體的基本資料。

   因為Elasticsearch控制台的執行個體管理頁面，整合調用了Beats採集器、阿里雲進階監控警示服務和標籤Tags等外部依賴介面，所以，當控制台僅對特定資源群組的執行個體進行管理時，需要配置整個阿里雲帳號下的自訂策略，才能保證控制台頁面通過RAM使用者權限的校正。

   說明

   配置好訪問特定執行個體的RAM許可權後，您還可以通過Elasticsearch和Logstsah的介面直接存取特定的執行個體。直接存取特性執行個體的方式分別如下：

   • https://elasticsearch.console.aliyun.com/{regionId}/instances/{instanceId}/base

   • https://elasticsearch.console.aliyun.com/{regionId}/logstashes/{instanceId}/base

3. 建立RAM使用者。

   具體操作請參見建立RAM使用者。

4. 為RAM使用者添加整個雲帳號的自訂策略許可權。

   具體操作，請參見為RAM使用者授權。配置時，選擇資源範圍為帳號層級，並在權限原則地區，選擇您建立的自訂權限原則。

（條件步驟）步驟二：建立資源群組並關聯特定資源群組的權限原則

1. 登入資源管理主控台。

2. 建立一個資源群組。

   具體操作請參見建立資源群組。

3. 將預設資源群組下的特定執行個體轉出到自訂資源群組下。

   具體操作請參見跨資源群組轉移資源。

4. 為RAM使用者授予指定資源群組下管理Elasticsearch的許可權。

   具體操作請參見添加RAM身份並授權。在新增授權頁面，選擇授權主體為自訂的RAM使用者，在權限原則地區，選擇AliyunElasticsearchFullAccess系統權限原則。

   說明

   完成授權後，授權主體將獲得當前資源群組內資源的相應許可權。

步驟三：驗證權限原則配置是否生效

1. 以RAM使用者身份登入Elasticsearch控制台。

2. 在左側導覽列，單擊Elasticsearch執行個體。

3. 在頂部功能表列，選擇地區和自訂的目標資源群組，即可查看該地區和資源群組下的ES執行個體列表。