如果您想通过RAM用户使用资源中心,您需要为RAM用户授予对应的权限策略。
背景信息
访问资源中心的权限
遵循最小授权原则,为RAM用户授予合适的权限。
系统策略
AliyunResourceCenterFullAccess:管理资源中心(ResourceCenter)的权限。
AliyunResourceCenterReadOnlyAccess:只读访问资源中心(ResourceCenter)的权限。
自定义策略
如果系统策略不能满足您的需求,您可以创建自定义策略。资源中心的授权信息,请参见授权信息。
搜索资源的权限
单账号
云资源的查看权限
为RAM用户授予目标云资源的只读查看权限后,该RAM用户就能在资源中心查看到对应的云资源。
例如:您希望RAM用户可以在资源中心查看账号下所有的云资源,您可以为RAM用户授予系统权限策略ReadOnlyAccess。如果您仅希望RAM用户查看某个特定的云资源,例如VPC资源,您可以只为RAM用户授予VPC系统权限策略AliyunVPCReadOnlyAccess。
资源组范围内的云资源查看权限
如果账号下的云资源已按资源组进行了分组管理,您可以为RAM用户仅授予资源组范围内的云资源查看权限,则该RAM用户仅能查看资源组内的云资源,满足资源隔离诉求。具体操作,请参见添加RAM身份并授权。
跨账号
为资源目录管理账号的RAM用户授予系统权限策略AliyunResourceCenterFullAccess后,该RAM用户就能跨账号搜索资源。
管理资源组的权限
资源组创建权限
为RAM用户授予创建资源组的权限(
ram:CreateResourceGroup)后,该RAM用户就能在资源中心创建资源组。跨资源组转移资源(转组)权限
为RAM用户授予目标云资源的转组权限后,该RAM用户就能在资源中心进行目标云资源的转组操作。
例如:为RAM用户授予以下自定义权限策略后,该RAM用户就能在资源中心创建资源组、对VPC资源进行转组。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:CreateResourceGroup",
"vpc:MoveResourceGroup"
],
"Resource": "*"
}
]
}管理云资源标签的权限
为RAM用户授予标签系统权限策略AliyunTagAdministratorAccess后,该RAM用户就可以在资源中心为云资源绑定和解绑标签。