通過資源組授權(quán)特定實例
如果您想對特定RAM用戶僅顯示控制臺的特定阿里云Elasticsearch(簡稱ES)實例資源,那么您可以通過資源組管理方式進(jìn)行授權(quán)配置。本文介紹通過資源組為RAM用戶配置特定實例的管控權(quán)限。
操作步驟
在創(chuàng)建阿里云ES實例時,如果您的資源組選擇了默認(rèn)資源組,在為RAM用戶授權(quán)時,雖然可以選擇指定資源組,但是由于實例創(chuàng)建在默認(rèn)資源組下,因此即使選擇了指定資源組,該資源組中也沒有對應(yīng)實例。
您需要先為RAM用戶授權(quán)整個云賬號的自定義策略權(quán)限,再創(chuàng)建資源組并關(guān)聯(lián)特定資源,最后再為RAM用戶授權(quán)指定資源組的權(quán)限。
步驟一:為RAM用戶添加整個云賬號的自定義策略權(quán)限
使用RAM管理員登錄RAM控制臺。
新建自定義權(quán)限策略。
具體操作請參見創(chuàng)建自定義權(quán)限策略。請參考以下示例配置權(quán)限策略內(nèi)容:
{ "Statement": [ { "Action": [ "elasticsearch:*" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/<yourInstanceId>" }, { "Action": [ "elasticsearch:ListCollectors" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:<yourAccountId>:collectors/*" }, { "Action": [ "elasticsearch:ListInstance", "elasticsearch:ListSnapshotReposByInstanceId" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/*" }, { "Effect": "Allow", "Action": [ "cms:ListAlarm", "cms:DescribeActiveMetricRuleList", "cms:QueryMetricList" ], "Resource": "*" }, { "Action": [ "elasticsearch:ListTags" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:*:tags/*" }, { "Action": [ "elasticsearch:GetEmonProjectList" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:*:emonProjects/*" }, { "Action": [ "elasticsearch:getEmonUserConfig" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:*:emonUserConfig/*" }, { "Action": "ims:*", "Effect": "Allow", "Resource": "acs:ims::<yourAccountId>:application/*" } ], "Version": "1" }
使用示例時,您需要替換以下變量值。
變量
說明
<yourAccountId>
替換為您的阿里云賬號ID,不支持通配符
*
。阿里云賬號ID的獲取方法:鼠標(biāo)移至控制臺右上角的用戶頭像上,即可查看到賬號ID。<yourInstanceId>
替換為待授權(quán)的目標(biāo)實例ID,不支持通配符
*
。獲取方式,請參見查看實例的基本信息。因為阿里云Elasticsearch控制臺的實例管理頁面,集成調(diào)用了Beats采集器、阿里云高級監(jiān)控報警服務(wù)和標(biāo)簽Tags等外部依賴接口,所以,當(dāng)控制臺僅對特定資源組的實例進(jìn)行管理時,需要配置整個阿里云賬號下的自定義策略,才能保證控制臺頁面通過RAM用戶權(quán)限的校驗。
說明配置好訪問特定實例的RAM權(quán)限后,您還可以通過Elasticsearch和Logstsah的接口直接訪問特定的實例。直接訪問特性實例的方式分別如下:
https://elasticsearch.console.aliyun.com/{regionId}/instances/{instanceId}/base
https://elasticsearch.console.aliyun.com/{regionId}/logstashes/{instanceId}/base
創(chuàng)建RAM用戶。
具體操作請參見創(chuàng)建RAM用戶。
為RAM用戶添加整個云賬號的自定義策略權(quán)限。
具體操作,請參見為RAM用戶授權(quán)。配置時,選擇資源范圍為賬號級別,并在權(quán)限策略區(qū)域,選擇您創(chuàng)建的自定義權(quán)限策略。
(條件步驟)步驟二:創(chuàng)建資源組并關(guān)聯(lián)特定資源組的權(quán)限策略
如果您創(chuàng)建的實例在自定義資源組下,無需執(zhí)行以下步驟。
登錄資源管理控制臺。
創(chuàng)建一個資源組。
具體操作請參見創(chuàng)建資源組。
將默認(rèn)資源組下的特定實例轉(zhuǎn)出到自定義資源組下。
具體操作請參見跨資源組轉(zhuǎn)移資源。
為RAM用戶授予指定資源組下管理Elasticsearch的權(quán)限。
具體操作請參見添加RAM身份并授權(quán)。在新增授權(quán)頁面,選擇授權(quán)主體為自定義的RAM用戶,在權(quán)限策略區(qū)域,選擇AliyunElasticsearchFullAccess系統(tǒng)權(quán)限策略。
說明完成授權(quán)后,授權(quán)主體將獲得當(dāng)前資源組內(nèi)資源的相應(yīng)權(quán)限。
步驟三:驗證權(quán)限策略配置是否生效
以RAM用戶身份登錄阿里云Elasticsearch控制臺。
在左側(cè)導(dǎo)航欄,單擊Elasticsearch實例。
在頂部菜單欄,選擇地域和自定義的目標(biāo)資源組,即可查看該地域和資源組下的ES實例列表。