使用RAM用户(子账号)登录计算巢控制台时,RAM用户(子账号)默认没有任何权限,您需要为之添加权限,否则会出现弹窗报错。本文介绍如何为RAM用户(子账号)添加计算巢服务权限。
前提条件
已创建RAM用户(子账号)。具体操作,请参见创建RAM用户。
背景信息
RAM用户是由阿里云账号(主账号)或者具有管理员权限的其他RAM用户(子账号)或RAM角色创建,创建成功后,RAM用户(子账号)归属于阿里云账号,它并非独立的阿里云账号。
RAM用户(子账号)拥有独立的登录密码或访问密码,且一个阿里云账号下可以创建多个RAM用户(子账号)。
RAM用户(子账号)必须在获得授权后,才能登录控制台并创建服务实例。您可以根据业务场景为其授予相应的权限策略。
若您只登录计算巢控制台,则只需要获取计算巢的系统权限即可,计算巢提供以下两种系统权限策略:
AliyunComputeNestUserFullAccess:管理计算巢服务(ComputeNest)的用户侧权限,该权限可以查看用户侧的视图,也可以对用户侧的视图进行编辑。
AliyunComputeNestUserReadOnlyAccess:只读访问计算巢服务(ComputeNest)的用户侧权限,该权限仅能查看用户侧的视图,不能编辑。
若您需要创建服务实例,除了计算巢的权限外还需要获取云资源的权限。所需权限分为必须获取的权限和非必须获取的权限,
必须获取的权限即创建所有服务实例都需要的权限。必须获取的权限为系统权限策略,如下所示:
AliyunComputeNestUserFullAccess:管理计算巢服务(ComputeNest)的用户侧权限
AliyunROSFullAccess:管理资源编排服务(ROS)的权限。
非必须获取的权限即根据服务实例的业务需求,可能需要的其他云资源权限。在部署服务实例前,系统会自动进行权限检查,并列出当前RAM用户缺少的权限策略。如下图所示
页面会弹出"需要的所有权限策略"对话框,同时在权限检查区域展示各权限的授权状态。您可以根据提示,联系主账号或者高权限的账号前往RAM控制台手动创建自定义权限策略,并对相应用户授权。
操作步骤
使用RAM 管理员登录RAM控制台
在左侧导航栏中,选择。
在用户页面,单击模板RAM用户操作列的添加权限。
在新增授权页面,为RAM用户添加权限。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
重要指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
选择授权主体。
授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。
选择权限策略。
权限策略是一组访问权限的集合,若您需要创建服务实例,需要为RAM用户添加以下权限策略:
系统策略(必须)
管理计算巢服务的用户侧权限:在系统策略中选择AliyunComputeNestUserFullAccess
管理资源编排服务的权限:在系统策略中选择AliyunROSFullAccess。
自定义策略(按需)
在部署服务实例前,系统会自动进行权限检查,并在页面上列出当前RAM用户缺少的权限策略。您可以将权限检查中提示缺少的权限整理为一个自定义策略,然后在此处选择该自定义策略进行授权。具体操作步骤如下:
在计算巢控制台部署服务实例时,查看权限检查区域提示缺少的权限策略。
前往RAM控制台 :,单击 创建权限策略
将服务部署需要的全部权限策略整理为一个自定义策略并保存
单击确定新增授权。
完成后可以查看权限添加结果。
