如果您需要通过RAM用户授予、更换、收回实例RAM角色,您需要通过阿里云账号授权RAM用户允许使用实例RAM角色。本文操作仅适用于阿里云账号。

背景信息

当您授权RAM用户使用实例RAM角色时,您必须授权RAM用户对该实例RAM角色的PassRole权限。其中,PassRole决定该RAM用户能否直接执行角色策略赋予的权限。

操作步骤

  1. 云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户登录名称/显示名称列表下,找到目标RAM用户。
  4. 单击添加权限,被授权主体会自动填入。
  5. 选择权限区域,单击新建权限策略
  6. 选择脚本编辑,新建自定义权限策略。
    自定义策略如下所示,其中,[ECS RAM Action]表示可授权RAM用户的权限,更多取值请参见鉴权规则
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ecs: [ECS RAM Action]",
                    "ecs: CreateInstance",
                    "ecs: AttachInstanceRamRole",
                    "ecs: DetachInstanceRAMRole"
                ],
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": "ram:PassRole",
                "Resource": "*"
            }
        ]
    }
  7. 返回添加权限面板,在选择权限区域单击自定义策略
  8. 在左侧权限策略名称列表下,单击需要授予RAM用户的自定义权限策略。
    说明 在右侧区域框,选择某条策略并单击×,可撤销该策略。
  9. 单击确定
  10. 单击完成