使用資源組限制RAM用戶管理指定的ECS實例
本文為您介紹如何使用阿里云RAM和資源組對ECS實例進行分組并授權,限制RAM用戶只能查看和管理被授權ECS實例的需求。
操作步驟
以下將提供一個示例,僅允許RAM用戶(Alice)查看和管理ECS實例(i-001),無權查看和管理其他ECS實例。您可以將ECS實例加入到資源組,利用資源組進行分組授權。
在以下整個授權過程中,ECS實例可以正常工作,不會產生任何影響。
以下操作使用賬號管理員完成。
在RAM控制臺,創建RAM用戶(Alice)。
具體操作,請參見創建RAM用戶。
在資源管理控制臺,創建資源組(ECS-Admin)。
具體操作,請參見創建資源組。
在資源管理控制臺,將ECS實例(i-001)加入資源組(ECS-Admin)。
在RAM控制臺,為RAM用戶(Alice)授權。
其中,授權范圍選擇資源組(ECS-Admin),授權主體選擇RAM用戶(Alice),權限策略選擇系統策略(AliyunECSFullAccess)。具體操作,請參見為RAM用戶授權。
說明在實際業務環境中,建議您遵循最小化授權原則,通過創建自定義權限策略,授予RAM用戶剛剛好的權限即可,避免權限過大帶來的安全風險。
結果驗證
使用RAM用戶(Alice)登錄ECS控制臺。
具體操作,請參見RAM用戶登錄阿里云控制臺。
在左側導航欄,選擇 。
在頂部菜單欄左上角處,選擇地域。
在頂部菜單欄左上角處的資源組下拉列表,選擇資源組(ECS-Admin)。
重要只有RAM用戶選擇了對應資源組后,RAM用戶才能看到資源組內的ECS實例。否則,RAM用戶無法看到任何ECS實例。
在實例列表中,查看和管理對應的ECS實例(i-001)。
相關文檔
ECS實例的關聯資源,可以手動轉移到對應資源組,也可以使用資源管理提供的關聯資源轉組功能,進行關聯資源的自動轉組。目前僅支持云盤、網卡和EIP跟隨ECS實例自動轉組。具體操作,請參見關聯資源跟隨轉組。