文档

使用标签对ECS实例进行分组授权

更新时间:

本文介绍了如何使用标签对ECS实例进行分组并授权,以满足RAM用户只能查看和操作被授权资源的需求。

背景信息

假设您的阿里云账号购买了10个ECS实例,其中5个想要授权给developer团队,另外5个授权给operator团队。企业希望每个团队只能查看被授权的ECS实例,未被授权的不允许查看。

规划2个RAM用户组,名称命名为:developer、operator。

规划2个RAM自定义策略,名称命名为:policyForDevTeam、policyForOpsTeam。

规划2个标签,如下:

  • 其中5个实例绑定一对标签,标签键是team,标签值是dev。

  • 另外5个实例绑定另一对标签,标签键是team,标签值是ops。

操作步骤

  1. 使用阿里云账号登录ECS控制台,为ECS实例创建并绑定标签。

    1. 登录ECS控制台

    2. 在左侧导航栏,选择实例与镜像 > 实例

    3. 在顶部菜单栏左上角处,选择地域。

    4. 实例页面,将鼠标悬停在目标实例标签列的标签图标图标上,然后单击编辑标签

    5. 编辑标签对话框,输入标签键和标签值。

    6. 单击确定

    按照上述步骤依次为5个ECS实例绑定标签team:dev,另外5个ECS实例绑定标签team:ops

  2. 使用阿里云账号登录RAM控制台,创建2个用户组:developer、operator。

    具体操作,请参见创建用户组

  3. 使用阿里云账号登录RAM控制台,创建不同的RAM用户,分别添加到2个用户组下。

    具体操作,请参见创建RAM用户为用户组添加RAM用户

  4. 使用阿里云账号登录RAM控制台,创建2个自定义策略:policyForDevTeam和policyForOpsTeam,然后将自定义策略policyForDevTeam授权给用户组developer,将自定义策略policyForOpsTeam授权给用户组operator。

    具体操作,请参见创建自定义权限策略为用户组授权

    说明

    授权后RAM用户将继承对应用户组的相关权限。

    policyForDevTeam策略内容如下:

    {
        "Statement": [
        {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:tag/team": "dev"
                }
            }
        },
        {
            "Action": "ecs:DescribeTag*",
            "Effect": "Allow",
            "Resource": "*"
        }
        ],
        "Version": "1"
    }

    policyForOpsTeam策略内容如下:

    {
        "Statement": [
        {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:tag/team": "ops"
                }
            }
        },
        {
            "Action": "ecs:DescribeTag*",
            "Effect": "Allow",
            "Resource": "*"
        }
        ],
        "Version": "1"
    }

    权限策略说明:

    • 带有Condition"Action": "ecs:*"部分用于过滤标签为team:devteam:ops的ECS实例。

    • "Action": "ecs:DescribeTag*"用于展示所有ECS标签。当RAM用户在ECS控制台操作时,系统显示所有标签供RAM用户选择,只有当RAM用户选择了对应标签后,系统才能根据选中的标签过滤相应资源。

验证结果

  1. 使用RAM用户登录ECS控制台

  2. 在左侧导航栏,选择实例与镜像 > 实例

  3. 在顶部菜单栏左上角处,选择地域。

  4. 实例列表页面,单击搜索栏旁边的标签

  5. 鼠标悬停在标签键上,选择对应的标签值,系统可以过滤出符合要求的ECS实例。

    例如:在用户组developer中的RAM用户,可以通过标签team:dev过滤,查看有权限访问的ECS实例。标签过滤

    重要

    只有当RAM用户选择了对应标签后,RAM用户才能查看到该标签绑定的ECS实例。否则,RAM用户无法查看对应ECS实例。

更多信息

使用标签对块存储、快照、镜像、安全组、弹性网卡、专有宿主机、SSH密钥对等ECS资源进行分组授权的方法与上述对实例分组授权的方法相同。

  • 本页导读 (1)
文档反馈