使用標(biāo)簽控制云助手的命令執(zhí)行
RAM用戶或RAM角色只能將云助手命令執(zhí)行在帶有某種標(biāo)簽的ECS實(shí)例上,否則執(zhí)行失敗。本文以RAM用戶為例,為您介紹對(duì)應(yīng)的操作方法、自定義權(quán)限策略內(nèi)容及常見問(wèn)題。
操作步驟
使用阿里云賬號(hào)或RAM管理員創(chuàng)建RAM用戶。
具體操作,請(qǐng)參見創(chuàng)建RAM用戶。
使用阿里云賬號(hào)或RAM管理員創(chuàng)建自定義權(quán)限策略。
自定義權(quán)限策略內(nèi)容如下:
具體操作,請(qǐng)參見創(chuàng)建自定義權(quán)限策略。
使用阿里云賬號(hào)或RAM管理員為RAM用戶授權(quán)。
具體操作,請(qǐng)參見為RAM用戶授權(quán)。
使用RAM用戶登錄ECS管理控制臺(tái)云助手頁(yè)面,驗(yàn)證權(quán)限策略是否生效。
將命令執(zhí)行到不帶有標(biāo)簽
user:alice
的ECS實(shí)例上,執(zhí)行失敗。將命令執(zhí)行到帶有標(biāo)簽
user:alice
的ECS實(shí)例上,執(zhí)行成功。
關(guān)于RAM用戶登錄控制臺(tái)的操作方法,請(qǐng)參見RAM用戶登錄阿里云控制臺(tái)。
權(quán)限策略示例1:要求發(fā)送命令、文件的ECS實(shí)例帶有指定標(biāo)簽
本示例中,僅允許RAM用戶將云助手命令執(zhí)行到帶有標(biāo)簽user:alice
的ECS實(shí)例上、將文件傳輸?shù)綆в袠?biāo)簽user:alice
的ECS實(shí)例上。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:StopInvocation",
"ecs:SendFile"
],
"Resource": "acs:ecs:*:*:instance/*",
"Condition": {
"StringEquals": {
"acs:ResourceTag/user": "alice"
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:StopInvocation",
"ecs:SendFile"
],
"Resource": "acs:ecs:*:*:command/*"
}
]
}
權(quán)限策略示例2:查詢標(biāo)簽、查詢ECS實(shí)例以及管理云助手命令
本示例中,僅允許RAM用戶查詢標(biāo)簽、查詢ECS實(shí)例以及管理云助手命令。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeTag*",
"ecs:DescribeInstance*",
"ecs:DescribeCommands",
"ecs:CreateCommand",
"ecs:DeleteCommand",
"ecs:ModifyCommand",
"ecs:DescribeInvocationResults",
"ecs:DescribeSendFileResults",
"ecs:DescribeInstances",
"ecs:DescribeCloudAssistantStatus",
"ecs:DescribeInvocations",
"ecs:DescribeResourceByTags",
"ecs:DescribeTagKeys",
"ecs:DescribeTags",
"ecs:ListTagResources",
"ecs:DescribeManagedInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "oos:ListSecretParameters",
"Resource": "*"
}
]
}
常見問(wèn)題
如果權(quán)限策略未生效,請(qǐng)檢查RAM用戶的權(quán)限是否對(duì)以下幾個(gè)Action設(shè)置了Allow策略:
["ecs:InvokeCommand","ecs:RunCommand", "ecs:StopInvocation","ecs:SendFile"]
例如:存在如下所示的權(quán)限策略時(shí),您需要移除RAM用戶的這些權(quán)限策略。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:StopInvocation",
"ecs:SendFile"
],
"Resource": "*"
}
]
}