全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
访问控制

云服务器 ECS 授权

更新时间:2017-09-15 10:32:39

问题

查看 ECS 的权限定义

  请参考 ECS OpenAPI 文档中的 ECS 鉴权规则

为一个子用户授予 ECS 服务的完全管理权限

  在 RAM 控制台上,为此子用户(或该用户所在群组)附加系统授权策略 “AliyunECSFullAccess”。

为一个子用户授予只读访问 ECS 的权限

  在 RAM 控制台中创建一个子用户,并为此子用户附加系统授权策略 “AliyunECSReadOnlyAccess”。

  添加授权策略的方式请参考 授权

仅允许子用户查看青岛的 ECS 实例,但是不允许查看磁盘信息及快照信息

  查看 ECS 资源列表的授权粒度可以到 “Region + 资源类型” 的级别。

  下面的样例仅授权查看青岛的 ECS 实例信息。

  1. {
  2. "Statement": [
  3. {
  4. "Effect": "Allow",
  5. "Action": "ecs:DescribeRegions",
  6. "Resource": "*"
  7. },
  8. {
  9. "Effect": "Allow",
  10. "Action": "ecs:Describe*",
  11. "Resource": "acs:ecs:cn-qingdao:*:instance/*"
  12. }
  13. ],
  14. "Version": "1"
  15. }

授权一个子用户管理两台指定的 ECS 实例

  假设您的租户账号购买了 10 个 ECS 实例。而作为 RAM 管理员,您希望仅仅授权其中的 2 个 ECS 实例给某个 RAM 用户。那么您可以创建如下的自定义授权策略:

  注意:授予该策略的 RAM 用户是可以列出所有的 ECS 实例,但只能操作(比如 StopInstance 操作)其中的两台。目前,不支持 RAM 用户仅仅查看自己有访问权限的 ECS 实例。

  这里假设您的两台实例 ID 分别是 i-001 和 i-002;首先您需要创建一条自定义授权策略,包含管理 i-001,i-002 的权限以及查看 ECS 所有资源的权限:

  1. {
  2. "Statement": [
  3. {
  4. "Action": "ecs:*",
  5. "Effect": "Allow",
  6. "Resource": [
  7. "acs:ecs:*:*:instance/i-001",
  8. "acs:ecs:*:*:instance/i-002"
  9. ]
  10. },
  11. {
  12. "Action": "ecs:Describe*",
  13. "Effect": "Allow",
  14. "Resource": "*"
  15. }
  16. ],
  17. "Version": "1"
  18. }

  然后为子用户附加该自定义授权策略即可。

授权子用户创建快照权限

  如果已经授权给子账户指定 ECS 的管理员权限后,依然不能创建磁盘快照,因为快照是基于磁盘基础上,需要授予子用户指定磁盘的权限。

  假设您需要指定子账户管理实例 ID 为 inst-01 的 ecs,并且具备给 ID 为:dist-01 的磁盘创建快照的权限。您可以创建如下的自定义授权策略:

  1. {
  2. "Statement": [
  3. {
  4. "Action": "ecs:*",
  5. "Effect": "Allow",
  6. "Resource": [
  7. "acs:ecs:*:*:instance/inst-01"
  8. ]
  9. },
  10. {
  11. "Action": "ecs:CreateSnapshot",
  12. "Effect": "Allow",
  13. "Resource": [
  14. "acs:ecs:*:*:disk/dist-01",
  15. "acs:ecs:*:*:snapshot/*"
  16. ]
  17. },
  18. {
  19. "Action": [
  20. "ecs:Describe*"
  21. ],
  22. "Effect": "Allow",
  23. "Resource": "*"
  24. }
  25. ],
  26. "Version": "1"
  27. }

  然后为子用户附加该自定义授权策略即可。

本文导读目录