通過RAM對ECS進行權限管理
本文介紹了通過RAM對云服務器(ECS)進行權限管理,以滿足RAM用戶操作ECS的多種需求。
背景信息
RAM提供的ECS系統權限策略如下:
AliyunECSFullAccess:管理ECS的權限。
AliyunECSReadOnlyAccess:只讀訪問ECS的權限。
如果系統權限策略不能滿足您的要求,您可以創建自定義權限策略實現最小授權。使用自定義權限策略有助于實現權限的精細化管控,是提升資源訪問安全的有效手段。ECS鑒權列表,請參見鑒權規則。
操作步驟
創建RAM用戶。
具體操作,請參見創建RAM用戶。
創建自定義策略。
為RAM用戶授權。
具體操作,請參見為RAM用戶授權。
其中,授權范圍您可以選擇:
整個云賬號:權限在當前阿里云賬號內生效。為方便操作,本示例選擇整個云賬號。
指定資源組:權限在指定的資源組內生效。資源組授權示例,請參見使用資源組管理指定的ECS實例。
權限策略示例
示例1:授權RAM用戶管理2個指定的ECS實例。
假設您的賬號購買了多個ECS實例,而作為RAM管理員,您希望僅授權其中的2個ECS實例給某個RAM用戶。ECS實例ID分別為i-001、i-002。
{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-001", "acs:ecs:*:*:instance/i-002" ] }, { "Action": "ecs:Describe*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }說明授予該權限策略的RAM用戶可以查看所有的ECS實例,但只能操作其中2個ECS實例。如果您只想查看和操作這2個ECS實例,您可以使用資源組授權的方式。具體操作,請參見使用資源組管理指定的ECS實例。
Describe*在權限策略中是必須的,否則用戶在控制臺將無法查看任何ECS實例。但使用API、CLI或SDK可以直接對這2個ECS實例進行操作。
示例2:授權RAM用戶僅可以查看華北1(青島)地域的ECS實例,但不允許查看磁盤及快照信息。
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:Describe*", "Resource": "acs:ecs:cn-qingdao:*:instance/*" } ], "Version": "1" }說明如果您想授權RAM用戶查看其他地域的ECS實例,可以將
Resource中的cn-qingdao替換為其他地域ID。關于地域ID,請參見地域和可用區。示例3:授權RAM用戶創建快照。
如果RAM用戶已擁有ECS實例管理員權限,但仍不能創建磁盤快照,再次授予RAM用戶指定磁盤的權限即可正常使用。ECS實例ID為
i-001,磁盤ID為d-001。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-001" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:disk/d-001", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }