全部产品
阿里云办公

访问鉴权规则

更新时间:2018-04-12 22:56:13

通用权限策略

我们有为常见访问需求的用户提供以下2种通用权限策略,可选择适合自己的权限。可直接从“可选授权策略名称”中搜以下括号中策略名进行选择。

  • 只读访问Elasticsearch的权限,可用于只读用户(AliyunElasticsearchReadOnlyAccess)
  • 管理Elasticsearch的权限,可用于管理员(AliyunElasticsearchFullAccess)

温馨提示:如果以上2种通用权限策略无法满足您的需求,可参考下面的描述自定义符合您需求的权限策略。

购买实例权限(后付费&预付费)

访问主用户VPC权限

  • [“vpc:DescribeVSwitch*”,“vpc:DescribeVpc*”]

温馨提示:可参考系统模板 AliyunVPCReadOnlyAccess

子用户订单权限

  • [“bss:PayOrder”]

温馨提示:可参考系统模板 AliyunBSSOrderAccess

API 对应权限

Method URI Resource Action
GET /instances instances/* ListInstance
POST /instances instances/* CreateInstance
GET /instances/$instanceId instances/$instanceId DescribeInstance
DELETE /instances/$instanceId instances/$instanceId DeleteInstance
POST /instances/$instanceId/actions/restart instances/$instanceId RestartInstance
PUT /instances/$instanceId instances/$instanceId UpdateInstance

授权样例参考

  • Resource 中的变量含义(例如: $regionid,$accountid,$instanceId 等)。
  • Resource 中的es实例也可以使用通配符 * 来表示。

授权样例(1)

给accountId为1234的主账号下的某个子账号,赋予华东1区所有实例在控制台中拥有(除了创建实例权限)之外的所有操作权限,同时限制只能指定的IP才能访问。

该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。

1、创建一个策略

  1. {
  2. "Statement": [
  3. {
  4. "Action": [
  5. "elasticsearch:ListInstance",
  6. "elasticsearch:DescribeInstance",
  7. "elasticsearch:DeleteInstance",
  8. "elasticsearch:RestartInstance",
  9. "elasticsearch:UpdateInstance"
  10. ],
  11. "Condition": {
  12. "IpAddress": {
  13. "acs:SourceIp": "xxx.xx.xxx.x/xx"
  14. }
  15. },
  16. "Effect": "Allow",
  17. "Resource": "acs:elasticsearch:cn-hangzhou:1234:instances/*"
  18. }
  19. ],
  20. "Version": "1"
  21. }

2、把当前策略授权给您指定的子账号。

授权样例(2)

给accountId为1234的主账号下的某个子账号,赋予华东1区指定实例在控制台中拥有(除了创建实例权限)之外的所有操作权限,同时限制只能指定的IP才能访问。

该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。

1、创建一个策略

  1. {
  2. "Statement": [
  3. {
  4. "Action": [
  5. "elasticsearch:ListInstance"
  6. ],
  7. "Condition": {
  8. "IpAddress": {
  9. "acs:SourceIp": "xxx.xx.xxx.x/xx"
  10. }
  11. },
  12. "Effect": "Allow",
  13. "Resource": "acs:elasticsearch:cn-hangzhou:1234:instances/*"
  14. },
  15. {
  16. "Action": [
  17. "elasticsearch:DescribeInstance",
  18. "elasticsearch:DeleteInstance",
  19. "elasticsearch:RestartInstance",
  20. "elasticsearch:UpdateInstance"
  21. ],
  22. "Condition": {
  23. "IpAddress": {
  24. "acs:SourceIp": "xxx.xx.xxx.x/xx"
  25. }
  26. },
  27. "Effect": "Allow",
  28. "Resource": "acs:elasticsearch:cn-hangzhou:1234:instances/$instanceId"
  29. }
  30. ],
  31. "Version": "1"
  32. }

2、把当前策略授权给您指定的子账号。

授权样例(3)

给accountId为1234的主账号下的某个子账号,赋予所有阿里云Elasticsearch支持区域,所有实例在控制台中拥有所有操作权限。

该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。

1、创建一个策略

  1. {
  2. "Statement": [
  3. {
  4. "Action": [
  5. "elasticsearch:*"
  6. ],
  7. "Effect": "Allow",
  8. "Resource": "acs:elasticsearch:*:1234:instances/*"
  9. }
  10. ],
  11. "Version": "1"
  12. }

2、把当前策略授权给您指定的子账号。

授权样例(4)

给accountId为1234的主账号下的某个子账号,赋予所有阿里云Elasticsearch支持区域,指定实例在控制台中拥有(除了创建实例权限,查看实例列表权限)之外的所有操作权限。

该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。

1、创建一个策略

  1. {
  2. "Statement": [
  3. {
  4. "Action": [
  5. "elasticsearch:DescribeInstance",
  6. "elasticsearch:DeleteInstance",
  7. "elasticsearch:UpdateInstance",
  8. "elasticsearch:RestartInstance"
  9. ],
  10. "Effect": "Allow",
  11. "Resource": "acs:elasticsearch:*:1234:instances/$instanceId"
  12. }
  13. ],
  14. "Version": "1"
  15. }

2、把当前策略授权给您指定的子账号。