如果您想对特定RAM用户仅显示控制台的特定阿里云Elasticsearch实例资源,那么您可以通过资源组管理方式进行授权配置。本文介绍如何在RAM控制台,通过资源组为RAM用户配置特定实例的管控权限。
操作流程
在创建阿里云Elasticsearch实例时,如果您的资源组选择了默认资源组,在为RAM用户授权时,虽然可以选择指定资源组,但是由于实例创建在默认资源组下,因此即使选择了指定资源组,该资源组中也没有对应实例。而是需要先为RAM用户授权整个云账号的自定义策略权限,再创建资源组并关联特定资源,最后再为RAM用户授权指定资源组的权限并验证。具体操作流程如下:
如果您创建的实例在自定义资源组下,只需为RAM用户添加指定资源组的自定义策略权限,具体操作请参见为RAM用户授权。配置时,选择授权范围为指定资源组,并在选择权限区域选择您创建的自定义权限策略。
步骤一:为RAM用户添加整个云账号的自定义策略权限
使用RAM管理员登录RAM控制台。
新建自定义权限策略。
具体操作请参见创建自定义权限策略。请参考以下示例配置权限策略内容:
{ "Statement": [ { "Action": [ "elasticsearch:*" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/<yourInstanceId>" }, { "Action": [ "elasticsearch:ListCollectors" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:<yourAccountId>:collectors/*" }, { "Action": [ "elasticsearch:ListInstance", "elasticsearch:ListSnapshotReposByInstanceId" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/*" }, { "Effect": "Allow", "Action": [ "cms:ListAlarm", "cms:DescribeActiveMetricRuleList", "cms:QueryMetricList" ], "Resource": "*" }, { "Action": [ "elasticsearch:ListTags" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:*:tags/*" }, { "Action": [ "elasticsearch:GetEmonProjectList" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:*:emonProjects/*" }, { "Action": [ "elasticsearch:getEmonUserConfig" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:*:emonUserConfig/*" }, { "Action": "ims:*", "Effect": "Allow", "Resource": "acs:ims::<yourAccountId>:application/*" } ], "Version": "1" }
使用示例时,您需要将替换以下变量值。
变量
说明
<yourAccountId>
替换为您的阿里云账号ID,不支持通配符
*
。阿里云账号ID的获取方法:鼠标移至控制台右上角的用户头像上,即可查看到账号ID。<yourInstanceId>
替换为待授权的目标实例ID,不支持通配符
*
。获取方式,请参见查看实例的基本信息。因为阿里云Elasticsearch控制台的实例管理页面,集成调用了Beats采集器、阿里云高级监控报警服务和标签Tags等外部依赖接口,所以,当控制台仅对特定资源组的实例进行管理时,需要配置整个阿里云账号下的自定义策略,才能保证控制台页面通过RAM用户权限的校验。
说明配置好访问特定实例的RAM权限后,您还可以通过Elasticsearch和Logstsah的接口直接访问特定的实例。直接访问特性实例的方式分别如下:
https://elasticsearch.console.aliyun.com/{regionId}/instances/{instanceId}/base
https://elasticsearch.console.aliyun.com/{regionId}/logstashes/{instanceId}/base
创建RAM用户。
具体操作请参见创建RAM用户。
为RAM用户添加整个云账号的自定义策略权限。
具体操作请参见为RAM用户授权。配置时,选择授权范围为整个云账号,并在选择权限区域,选择您创建的自定义权限策略。
步骤二:创建资源组并关联特定资源组的权限策略
登录资源管理控制台。
创建一个资源组。
具体操作请参见创建资源组。
将默认资源组下的特定实例转出到自定义资源组下。
具体操作请参见跨资源组转移资源。
为RAM用户授予指定资源组下管理Elasticsearch的权限。
具体操作请参见添加RAM身份并授权。配置时,授权范围会自动设置为指定资源组,并选择了目标资源组。您只需在选择权限区域,选择AliyunElasticsearchFullAccess系统权限策略即可。
查看RAM用户的授权信息。
单击权限管理页签。
单击授权主体名称。
在RAM控制台的用户页面,单击权限管理页签,查看RAM用户的授权信息。
步骤三:验证权限策略配置是否生效
以RAM用户身份登录阿里云Elasticsearch控制台。
在顶部菜单栏,选择地域。
在左侧导航栏,单击Elasticsearch实例。
在顶部菜单栏处,选择之前自定义的目标资源组,再次单击Elasticsearch实例,即可查看该资源组下的实例信息。
- 本页导读 (1)