全部產品
Search
文件中心

Resource Access Management:使用資源群組限制RAM使用者管理指定的ECS執行個體

更新時間:Feb 05, 2024

本文為您介紹如何使用阿里雲RAM和資源群組對ECS執行個體進行分組並授權,限制RAM使用者只能查看和管理被授權ECS執行個體的需求。

操作步驟

以下將提供一個樣本,僅允許RAM使用者(Alice)查看和管理ECS執行個體(i-001),無權查看和管理其他ECS執行個體。您可以將ECS執行個體加入到資源群組,利用資源群組進行分組授權。

說明

在以下整個授權過程中,ECS執行個體可以正常工作,不會產生任何影響。

以下操作使用帳號管理員完成。

  1. RAM控制台,建立RAM使用者(Alice)。

    具體操作,請參見建立RAM使用者

  2. 資源管理主控台,建立資源群組(ECS-Admin)。

    具體操作,請參見建立資源群組

  3. 資源管理主控台,將ECS執行個體(i-001)加入資源群組(ECS-Admin)。

    ECS執行個體加入資源群組有以下兩種方式,請您根據實際情況選擇合適的方式:

    • 對於新建立的ECS執行個體,您可以在建立的同時加入資源群組(ECS-Admin)。具體操作,請參見自訂購買執行個體

    • 對於已有的ECS執行個體,您可以將其轉入到對應的資源群組(ECS-Admin)。具體操作,請參見跨資源群組轉移資源

  4. RAM控制台,為RAM使用者(Alice)授權。

    其中,授權範圍選擇資源群組(ECS-Admin),授權主體選擇RAM使用者(Alice),權限原則選擇系統策略(AliyunECSFullAccess)。具體操作,請參見為RAM使用者授權資源群組授權

    說明

    在實際業務環境中,建議您遵循最小化授權原則,通過建立自訂權限原則,授予RAM使用者剛剛好的許可權即可,避免許可權過大帶來的安全風險。

結果驗證

  1. 使用RAM使用者(Alice)登入ECS控制台

    具體操作,請參見RAM使用者登入阿里雲控制台

  2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

  3. 在頂部功能表列左上方處,選擇地區。

  4. 在頂部功能表列左上方處的資源群組下拉式清單,選擇資源群組(ECS-Admin)。

    選擇資源群組-zh.jpg

    重要

    只有RAM使用者選擇了對應資源群組後,RAM使用者才能看到資源群組內的ECS執行個體。否則,RAM使用者無法看到任何ECS執行個體。

  5. 在執行個體列表中,查看和管理對應的ECS執行個體(i-001)。

相關文檔

ECS執行個體的關聯資源,可以手動轉移到對應資源群組,也可以使用資源管理提供的關聯資源轉組功能,進行關聯資源的自動轉組。目前僅支援雲端硬碟、網卡和EIP跟隨ECS執行個體自動轉組。具體操作,請參見關聯資源跟隨轉組