全部產品
Search
文件中心

Resource Management:使用標籤控制ECS資源的訪問

更新時間:Jun 30, 2024

Elastic Compute Service資源綁定標籤後,您可以使用標籤為資源做分類並控制訪問。本文以ECS執行個體為例,介紹如何為RAM使用者授權特定的策略,使該RAM使用者能夠通過標籤控制ECS執行個體的訪問。

前提條件

已使用阿里雲帳號建立一個RAM使用者,詳情請參見建立RAM使用者

背景資訊

標籤是雲資源的標識,可以協助您從不同的維度對具有相同特徵的雲資源進行分類、搜尋和彙總,使資源管理更加容易。每個雲資源均支援綁定多個標籤。支援標籤的雲端服務和資源類型,請參見支援標籤的雲端服務

阿里雲的使用者權限是基於策略為管理主體的,您可以根據不同使用者的職責配置RAM策略。在策略中,您可以定義多個標籤,然後將一個或多個策略授權給RAM使用者或使用者組。如果要控制RAM使用者可以訪問哪些資源,您可以建立自訂策略並使用標籤來實現存取控制。

預設情況下,資源清單將展示本地區中所有的資源,如果您希望為RAM使用者佈建查看資源的範圍,您可以通過建立自訂策略,利用標籤控制RAM使用者對資源的訪問。

步驟一:建立自訂策略並為RAM使用者授權

本步驟將使用阿里雲帳號建立一個自訂策略UseTagAccessRes(規定了RAM使用者需要指定標籤owner:zhangsanenvironment:production後方可訪問ECS資源),並將自訂策略UseTagAccessRes授權給RAM使用者userTest。

  1. 使用阿里雲帳號登入RAM控制台

  2. 建立自訂策略UseTagAccessRes。

    自訂策略內容如下所示。具體操作,請參見建立自訂權限原則

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "ecs:*",
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "acs:RequestTag/owner": "zhangsan",
                        "acs:RequestTag/environment": "production"
                    }
                }
            },
            {
                "Action": [
                    "ecs:DescribeTagKeys",
                    "ecs:DescribeTags"
                ],
                "Effect": "Allow",
                "Resource": "*"
            },
            {
                "Effect": "Deny",
                "Action": [
                    "ecs:DeleteTags",
                    "ecs:UntagResources",
                    "ecs:CreateTags",
                    "ecs:TagResources"
                ],
                "Resource": "*"
            }
        ],
        "Version": "1"
    }

    權限原則

    內容

    說明

    訪問帶標籤資源的許可權

    • "acs:RequestTag/owner": "zhangsan"

    • "acs:RequestTag/environment": "production"

    控制綁定該標籤的資源的訪問。

    允許查詢標籤的介面許可權

    • ecs:DescribeTagKeys

    • ecs:DescribeTags

    ECS控制台需要支援標籤查詢的許可權。

    不允許操作標籤相關的介面許可權

    • ecs:DeleteTags

    • ecs:UntagResources

    • ecs:CreateTags

    • ecs:TagResources

    許可權中不允許出現與操作標籤有關的介面,避免使用者因修改標籤導致沒有許可權。

  3. 將自訂策略授權給RAM使用者userTest。

    具體操作,請參見為RAM使用者授權

步驟二:為ECS執行個體綁定標籤

本步驟將使用阿里雲帳號為ECS執行個體綁定特定標籤。

說明

如果您沒有ECS執行個體,請先建立ECS執行個體。詳情請參見執行個體建立方式介紹

  1. 登入標籤控制台

  2. 在頂部功能表列左上方處,選擇地區。

  3. 自訂標籤頁簽,單擊建立自訂標籤

  4. 建立自訂標籤對話方塊,建立owner:zhangsanenvironment:production標籤,並綁定已有ECS執行個體。

    具體操作,請參見建立並綁定自訂標籤

步驟三:訪問帶標籤的ECS執行個體

本步驟將使用RAM使用者userTest(已授權自訂策略UseTagAccessRes)登入ECS控制台,訪問帶標籤的ECS執行個體。

  1. 使用RAM使用者登入ECS控制台

  2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

  3. 在頂部功能表列左上方處,選擇地區。

  4. 執行個體頁面,單擊搜尋欄旁邊的標籤篩選,選擇owner:zhangsanenvironment:production標籤。

    image.png

  5. 查看僅綁定了owner:zhangsanenvironment:production標籤的資源。