全部产品
Search
文档中心

计算巢服务:为用户侧RAM用户(子账号)授权

更新时间:Dec 18, 2024

使用RAM用户(子账号)登录计算巢控制台时,RAM用户(子账号)默认没有任何权限,您需要为之添加权限,否则会出现弹窗报错。本文介绍如何为RAM用户(子账号)添加计算巢服务权限。

前提条件

已创建RAM用户(子账号)。具体操作,请参见创建RAM用户

背景信息

  • RAM用户是由阿里云账号(主账号)或者具有管理员权限的其他RAM用户(子账号)或RAM角色创建,创建成功后,RAM用户(子账号)归属于阿里云账号,它并非独立的阿里云账号。

  • RAM用户(子账号)拥有独立的登录密码或访问密码,且一个阿里云账号下可以创建多个RAM用户(子账号)。

  • RAM用户(子账号)必须在获得授权后,才能登录控制台并创建服务实例。您可以根据业务场景为其授予相应的权限策略。

    若您只登录计算巢控制台,则只需要获取计算巢的系统权限即可,计算巢提供以下两种系统权限策略:

    • AliyunComputeNestUserFullAccess:管理计算巢服务(ComputeNest)的用户侧权限,该权限可以查看用户侧的视图,也可以对用户侧的视图进行编辑。

    • AliyunComputeNestUserReadOnlyAccess:只读访问计算巢服务(ComputeNest)的用户侧权限,该权限仅能查看用户侧的视图,不能编辑。

    若您需要创建服务实例,则管理计算巢服务的用户侧权限(AliyunComputeNestUserFullAccess)外,您还需要获取云资源的权限。云资源权限分为必须获取的权限和非必须获取的权限。

    • 必须获取的云资源权限即创建所有服务实例都需要的权限。必须获取的云资源权限如下:

      • AliyunVPCFullAccess:管理专有网络(VPC)的权限。

      • AliyunECSFullAccess:管理云服务器服务(ECS)的权限。

      • AliyunTagAdministratorAccess:管理标签服务(TAG)和所有阿里云产品标签的权限。

      • AliyunCloudMonitorFullAccess:管理云监控(CloudMonitor)的权限。

      • AliyunROSFullAccess:管理资源编排服务(ROS)的权限。

    • 非必须获取的云资源权限即根据服务实例的业务需求,需要创建除必须的云资源外的其他资源。例如,创建服务实例时,云资源需要绑定公网IP时,您需要先获取公网IP的管理权限(AliyunEIPFullAccess),授权的详细信息,请参考下面的操作步骤。支持RAM的云服务,请参见支持RAM的云服务

操作步骤

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏中,选择身份管理 > 用户

  3. 用户页面,单击模板RAM用户操作列的添加权限

  4. 新增授权页面,为RAM用户添加权限。

    1. 选择资源范围。

    2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。

    3. 选择权限策略。

      权限策略是一组访问权限的集合,计算巢服务常用策略如下:

      • 管理计算巢服务的用户侧权限:在系统策略中选择AliyunComputeNestUserFullAccess。

      • 只读访问计算巢服务的用户侧权限:在系统策略中选择AliyunComputeNestUserReadOnlyAccess。

  5. 单击确定新增授权

    完成后可以查看权限添加结果。

    image