標籤(Tag)與存取控制(RAM)相結合,可以實現更加精細化的許可權控制。為資源綁定標籤後,您可以通過RAM的自訂權限原則指定授權的標籤,以此限制RAM身份(RAM使用者或RAM角色)僅能對綁定該標籤的資源進行訪問和操作。使用標籤控制資源訪問的授權方式更靈活,擴充性更好,當新增資源時,只需要編輯資源的標籤,無需批量更改權限原則。本文以RAM使用者為例。
支援基於標籤授權的資源類型
登入標籤控制台,在標籤支援的資源類型頁面的資源類型鑒權列,查看各資源類型是否支援基於標籤的存取控制。
工作原理
基於標籤限制RAM使用者權限的邏輯如下圖所示。
自訂權限原則中是通過條件(Condition)指定授權的標籤,標籤支援的Condition如下:
Condition | 說明 |
| 請求中傳遞的標籤資訊。即使用者在調用API的時候,請求參數裡面必須攜帶的標籤。 |
| 請求訪問的資源上綁定的標籤資訊。即使用者在操作某個資源的時候,資源上必須具備的標籤。 |
工作流程
建立並綁定標籤。
建立自訂權限原則。
在RAM控制台建立自訂權限原則,在策略的Condition元素中配置標籤授權條件。具體操作,請參見建立自訂權限原則。
例如:以下權限原則表示允許對綁定了標籤
owner:alice和environment:production的ECS執行個體進行管理操作。{ "Effect": "Allow", "Action": "ecs:*", "Resource": "*", "Condition": { "StringEquals": { "acs:ResourceTag/owner": [ "alice" ], "acs:ResourceTag/environment": [ "production" ] } } }建立RAM使用者並授權。
在RAM控制台建立RAM使用者,然後為該RAM使用者添加自訂權限原則。具體操作,請參見建立RAM使用者和為RAM使用者授權。
最佳實務
雲端服務 | 標籤授權樣本 |
Elastic Compute Service | |
Elastic Container Instance | |
Auto Scaling | |
Server Migration Center | |
雲資料庫RDS |