云服務器ECS資源綁定標簽后,您可以使用標簽為資源做分類并控制訪問。本文以ECS實例為例,介紹如何為RAM用戶授權特定的策略,使該RAM用戶能夠通過標簽控制ECS實例的訪問。
前提條件
已使用阿里云賬號創建一個RAM用戶,詳情請參見創建RAM用戶。
背景信息
標簽是云資源的標識,可以幫助您從不同的維度對具有相同特征的云資源進行分類、搜索和聚合,使資源管理更加容易。每個云資源均支持綁定多個標簽。支持標簽的云服務和資源類型,請參見支持標簽的云服務。
阿里云的用戶權限是基于策略為管理主體的,您可以根據不同用戶的職責配置RAM策略。在策略中,您可以定義多個標簽,然后將一個或多個策略授權給RAM用戶或用戶組。如果要控制RAM用戶可以訪問哪些資源,您可以創建自定義策略并使用標簽來實現訪問控制。
默認情況下,資源列表將展示本地域中所有的資源,如果您希望為RAM用戶設置查看資源的范圍,您可以通過創建自定義策略,利用標簽控制RAM用戶對資源的訪問。
步驟一:創建自定義策略并為RAM用戶授權
本步驟將使用阿里云賬號創建一個自定義策略UseTagAccessRes(規定了RAM用戶需要指定標簽owner:zhangsan
和environment:production
后方可訪問ECS資源),并將自定義策略UseTagAccessRes授權給RAM用戶userTest。
使用阿里云賬號登錄RAM控制臺。
創建自定義策略UseTagAccessRes。
自定義策略內容如下所示。具體操作,請參見創建自定義權限策略。
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:*", "Resource": "*", "Condition": { "StringEquals": { "acs:RequestTag/owner": "zhangsan", "acs:RequestTag/environment": "production" } } }, { "Action": [ "ecs:DescribeTagKeys", "ecs:DescribeTags" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecs:DeleteTags", "ecs:UntagResources", "ecs:CreateTags", "ecs:TagResources" ], "Resource": "*" } ], "Version": "1" }
權限策略
內容
說明
訪問帶標簽資源的權限
"acs:RequestTag/owner": "zhangsan"
"acs:RequestTag/environment": "production"
控制綁定該標簽的資源的訪問。
允許查詢標簽的接口權限
ecs:DescribeTagKeys
ecs:DescribeTags
ECS控制臺需要支持標簽查詢的權限。
不允許操作標簽相關的接口權限
ecs:DeleteTags
ecs:UntagResources
ecs:CreateTags
ecs:TagResources
權限中不允許出現與操作標簽有關的接口,避免用戶因修改標簽導致沒有權限。
將自定義策略授權給RAM用戶userTest。
具體操作,請參見為RAM用戶授權。
步驟二:為ECS實例綁定標簽
本步驟將使用阿里云賬號為ECS實例綁定特定標簽。
如果您沒有ECS實例,請先創建ECS實例。詳情請參見實例創建方式介紹。
登錄標簽控制臺。
在頂部菜單欄左上角處,選擇地域。
在自定義標簽頁簽,單擊創建自定義標簽。
在創建自定義標簽對話框,創建
owner:zhangsan
和environment:production
標簽,并綁定已有ECS實例。具體操作,請參見創建并綁定自定義標簽。
步驟三:訪問帶標簽的ECS實例
本步驟將使用RAM用戶userTest(已授權自定義策略UseTagAccessRes)登錄ECS控制臺,訪問帶標簽的ECS實例。
使用RAM用戶登錄ECS控制臺。
在左側導航欄,選擇 。
在頂部菜單欄左上角處,選擇地域。
在實例頁面,單擊搜索欄旁邊的標簽篩選,選擇
owner:zhangsan
和environment:production
標簽。查看僅綁定了
owner:zhangsan
和environment:production
標簽的資源。