本文介绍在RAM控制台,如何通过资源组为RAM用户配置特定实例的管控权限。

背景信息

阿里云Elasticsearch实例默认创建在默认资源组下,以RAM用户身份对特定实例进行自定义权限策略授权后,阿里云Elasticsearch控制台依旧会显示全量实例。如果您想对特定RAM用户仅显示控制台的特定资源,那么您可以通过资源组管理方式进行授权配置。

步骤一:为RAM用户添加整个云账号的自定义策略权限

  1. 使用阿里云账号登录RAM控制台
  2. 配置新建自定义权限策略
    1. 在左侧导航栏,选择权限管理 > 权限策略管理
    2. 权限策略管理页面,单击创建权限策略
    3. 输入策略名称
    4. 配置模式中,选择脚本配置
      自定义权限策略
    5. 配置策略内容,详细信息请参见如下示例。使用时请将示例中的UID和实例ID替换成您自己的对应信息。
      {
          "Statement": [
              {
                  "Action": [
                      "elasticsearch:*"
                  ], 
                  "Effect": "Allow", 
                  "Resource": "acs:elasticsearch:*:133071096032****:instances/es-cn-tl325goel000j****"
              }, 
              {
                  "Action": [
                      "elasticsearch:ListCollectors"
                  ], 
                  "Effect": "Allow", 
                  "Resource": "acs:elasticsearch:*:133071096032****:collectors/*"
              }, 
              {
                  "Action": [
                      "elasticsearch:ListInstance", 
                      "elasticsearch:ListSnapshotReposByInstanceId"
                  ], 
                  "Effect": "Allow", 
                  "Resource": "acs:elasticsearch:*:<UID>:instances/*"
              }, 
              {
                  "Effect": "Allow", 
                  "Action": [
                      "cms:ListAlarm", 
                      "cms:DescribeActiveMetricRuleList", 
                      "cms:QueryMetricList"
                  ], 
                  "Resource": "*"
              }, 
              {
                  "Action": [
                      "elasticsearch:ListTags"
                  ], 
                  "Effect": "Allow", 
                  "Resource": "acs:elasticsearch:*:*:tags/*"
              }, 
              {
                  "Action": [
                      "elasticsearch:GetEmonProjectList"
                  ], 
                  "Effect": "Allow", 
                  "Resource": "acs:elasticsearch:*:*:emonProjects/*"
              }, 
              {
                  "Action": [
                      "elasticsearch:getEmonUserConfig"
                  ], 
                  "Effect": "Allow", 
                  "Resource": "acs:elasticsearch:*:*:emonUserConfig/*"
              }
          ], 
          "Version": "1"
      }

      因为阿里云Elasticsearch控制台的实例管理页面,集成调用了Beats采集器、阿里云高级监控和标签Tags等外部依赖接口,所以,当控制台仅对特定资源组的实例进行管理时,需要配置整个阿里云账号下的自定义策略,才能保证控制台页面通过RAM用户权限的校验。

      说明 配置好访问特定实例的RAM权限后,您还可以通过Elasticsearch和Logstsah的接口直接访问特定的实例。直接访问特性实例的方式分别如下:
      • https://elasticsearch.console.aliyun.com/{regionId}/instances/{instanceId}/base
      • https://elasticsearch.console.aliyun.com/{regionId}/logstashes/{instanceId}/base
    6. 单击确定
  3. 创建RAM用户。
    1. 在左侧导航栏,选择人员管理 > 用户
    2. 单击创建用户
    3. 创建用户页面,输入登录名称显示名称
      定义账号信息
    4. 单击确定,即可查看到创建的用户信息。
      创建的用户
  4. 为RAM用户添加整个云账号的自定义策略权限。
    1. 选择创建的目标用户登录名称/显示名称
    2. 单击操作列下的添加权限
    3. 添加权限面板中,自定义策略选择步骤2中创建的自定义策略名称。
      添加自定义策略权限
    4. 单击确定
    5. 单击完成
      查看最终结果

步骤二:创建资源组并关联特定资源组的权限策略

  1. 登录资源管理控制台
  2. 创建资源组。
    1. 在左侧导航栏,单击资源组
    2. 单击创建资源组
      创建资源组
    3. 创建资源组面板中,输入资源组标识资源组名称
    4. 单击确定
  3. 将默认资源组下的特定实例转出到自定义资源组下。
    1. 单击默认资源组。
    2. 单击资源管理页签。
    3. 选择目标实例ID,单击转出资源
    4. 转出资源面板,选择自定义的目标资源组。
    5. 单击确定
  4. 进行授权操作。
    1. 在左侧导航栏,单击资源组
    2. 找到之前自定义的目标资源组名称,单击操作列下的权限管理
    3. 单击新增授权
    4. 新增授权面板,配置相关信息。
      新增授权
    5. 单击确定
    6. 单击完成
  5. 查看当前用户授权信息。
    1. 单击权限管理页签。
    2. 单击被授权主体名称。
      被授权主体
    3. 用户基本信息页面,单击权限管理页签,查看当前用户授权信息。
      用户基本信息

步骤三:以RAM用户身份登录阿里云Elasticsearch控制台

  1. 以RAM用户身份登录阿里云Elasticsearch控制台
  2. 在顶部菜单栏,选择地区。
  3. 在左侧导航栏,单击Elasticsearch实例
  4. 在顶部菜单栏处,选择之前自定义的目标资源组,即可查看对应的实例信息。
    对应的实例信息