本文介紹了通過RAM對Elastic Compute Service進行許可權管理,以滿足RAM使用者操作ECS的多種需求。
背景資訊
RAM提供的ECS系統權限原則如下:
AliyunECSFullAccess:管理ECS的許可權。
AliyunECSReadOnlyAccess:唯讀訪問ECS的許可權。
如果系統權限原則不能滿足您的要求,您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控,是提升資源訪問安全的有效手段。ECS鑒權列表,請參見鑒權規則。
操作步驟
建立RAM使用者。
具體操作,請參見建立RAM使用者。
建立自訂策略。
為RAM使用者授權。
具體操作,請參見為RAM使用者授權。
其中,授權範圍您可以選擇:
整個雲帳號:許可權在當前阿里雲帳號內生效。為方便操作,本樣本選擇整個雲帳號。
指定資源群組:許可權在指定的資源群組內生效。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
權限原則樣本
樣本1:授權RAM使用者管理2個指定的ECS執行個體。
假設您的帳號購買了多個ECS執行個體,而作為Resource Access Management員,您希望僅授權其中的2個ECS執行個體給某個RAM使用者。ECS執行個體ID分別為i-001、i-002。
{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-001", "acs:ecs:*:*:instance/i-002" ] }, { "Action": "ecs:Describe*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }說明授予該權限原則的RAM使用者可以查看所有的ECS執行個體,但只能操作其中2個ECS執行個體。如果您只想查看和操作這2個ECS執行個體,您可以使用資源群組授權的方式。具體操作,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
Describe*在權限原則中是必須的,否則使用者在控制台將無法查看任何ECS執行個體。但使用API、CLI或SDK可以直接對這2個ECS執行個體進行操作。
樣本2:授權RAM使用者僅可以查看華北1(青島)地區的ECS執行個體,但不允許查看磁碟及快照資訊。
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:Describe*", "Resource": "acs:ecs:cn-qingdao:*:instance/*" } ], "Version": "1" }說明如果您想授權RAM使用者查看其他地區的ECS執行個體,可以將
Resource中的cn-qingdao替換為其他地區ID。關於地區ID,請參見地區和可用性區域。樣本3:授權RAM使用者建立快照。
如果RAM使用者已擁有ECS執行個體管理員權限,但仍不能建立磁碟快照,再次授予RAM使用者指定磁碟的許可權即可正常使用。ECS執行個體ID為
i-001,磁碟ID為d-001。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-001" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:disk/d-001", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }