Elastic Compute Service資源綁定標籤後,您可以使用標籤為資源做分類並控制訪問。本文以ECS執行個體為例,介紹如何為RAM使用者授權特定的策略,使該RAM使用者能夠通過標籤控制ECS執行個體的訪問。
前提條件
已使用阿里雲帳號建立一個RAM使用者,詳情請參見建立RAM使用者。
背景資訊
標籤是雲資源的標識,可以協助您從不同的維度對具有相同特徵的雲資源進行分類、搜尋和彙總,使資源管理更加容易。每個雲資源均支援綁定多個標籤。支援標籤的雲端服務和資源類型,請參見支援標籤的雲端服務。
阿里雲的使用者權限是基於策略為管理主體的,您可以根據不同使用者的職責配置RAM策略。在策略中,您可以定義多個標籤,然後將一個或多個策略授權給RAM使用者或使用者組。如果要控制RAM使用者可以訪問哪些資源,您可以建立自訂策略並使用標籤來實現存取控制。
預設情況下,資源清單將展示本地區中所有的資源,如果您希望為RAM使用者佈建查看資源的範圍,您可以通過建立自訂策略,利用標籤控制RAM使用者對資源的訪問。
步驟一:建立自訂策略並為RAM使用者授權
本步驟將使用阿里雲帳號建立一個自訂策略UseTagAccessRes(規定了RAM使用者需要指定標籤owner:zhangsan
和environment:production
後方可訪問ECS資源),並將自訂策略UseTagAccessRes授權給RAM使用者userTest。
使用阿里雲帳號登入RAM控制台。
建立自訂策略UseTagAccessRes。
自訂策略內容如下所示。具體操作,請參見建立自訂權限原則。
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:*", "Resource": "*", "Condition": { "StringEquals": { "acs:RequestTag/owner": "zhangsan", "acs:RequestTag/environment": "production" } } }, { "Action": [ "ecs:DescribeTagKeys", "ecs:DescribeTags" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecs:DeleteTags", "ecs:UntagResources", "ecs:CreateTags", "ecs:TagResources" ], "Resource": "*" } ], "Version": "1" }
權限原則
內容
說明
訪問帶標籤資源的許可權
"acs:RequestTag/owner": "zhangsan"
"acs:RequestTag/environment": "production"
控制綁定該標籤的資源的訪問。
允許查詢標籤的介面許可權
ecs:DescribeTagKeys
ecs:DescribeTags
ECS控制台需要支援標籤查詢的許可權。
不允許操作標籤相關的介面許可權
ecs:DeleteTags
ecs:UntagResources
ecs:CreateTags
ecs:TagResources
許可權中不允許出現與操作標籤有關的介面,避免使用者因修改標籤導致沒有許可權。
將自訂策略授權給RAM使用者userTest。
具體操作,請參見為RAM使用者授權。
步驟二:為ECS執行個體綁定標籤
本步驟將使用阿里雲帳號為ECS執行個體綁定特定標籤。
如果您沒有ECS執行個體,請先建立ECS執行個體。詳情請參見執行個體建立方式介紹。
步驟三:訪問帶標籤的ECS執行個體
本步驟將使用RAM使用者userTest(已授權自訂策略UseTagAccessRes)登入ECS控制台,訪問帶標籤的ECS執行個體。
使用RAM使用者登入ECS控制台。
在左側導覽列,選擇 。
在頂部功能表列左上方處,選擇地區。
在執行個體頁面,單擊搜尋欄旁邊的標籤篩選,選擇
owner:zhangsan
和environment:production
標籤。查看僅綁定了
owner:zhangsan
和environment:production
標籤的資源。