文档

通过RAM用户控制资源访问

更新时间:

在协同使用资源的场景下,根据实际职责和权限需求,您可以创建多个RAM用户并为其分别授予不同的权限,以实现对不同资源的分权管理,从而提高管理效率并降低信息泄露风险。本文介绍如何创建RAM用户并授予特定权限策略,以实现对云服务器ECS资源的访问控制。

操作步骤

  1. 创建RAM用户。

    具体操作,请参见创建RAM用户

  2. 可选:创建自定义策略。

    阿里云提供了访问云服务器ECS资源的系统策略,更多信息,请参见系统策略示例。如果系统策略不能满足需求,您还可以创建自定义策略,具体操作,请参见创建自定义权限策略

    创建自定义策略时,如果配置模式选择脚本配置Statement结构下的ActionResource参数取值说明,请参见鉴权列表。更多参数取值说明,请参见权限策略语法和结构

    • 脚本配置策略示例一:允许RAM用户创建按量付费实例。

      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                          "ecs:DescribeImages", 
                        "vpc:DescribeVpcs", 
                        "vpc:DescribeVSwitches", 
                        "ecs:DescribeSecurityGroups", 
                        "ecs:DescribeKeyPairs",
                        "ecs:DescribeTags", 
                        "ecs:RunInstances"
                ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    • 脚本配置策略示例二:允许RAM用户创建包年包月实例。其中bss相关API主要用于查看并支付包年包月订单,其对应的系统策略为AliyunBSSOrderAccess

      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                          "ecs:DescribeImages", 
                        "vpc:DescribeVpcs", 
                        "vpc:DescribeVSwitches", 
                        "ecs:DescribeSecurityGroups", 
                        "ecs:DescribeKeyPairs",
                        "ecs:DescribeTags", 
                        "ecs:RunInstances",
                        "bss:DescribeOrderList",
                        "bss:DescribeOrderDetail",
                        "bss:PayOrder",
                        "bss:CancelOrder"
                ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    • 脚本配置策略示例三:允许RAM用户创建ECS实例后查询实例和块存储信息。

      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                          "ecs:DescribeInstances", 
                          "ecs:DescribeDisks"
                ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
  3. 授予RAM用户访问云服务器ECS资源的权限策略。具体操作,请参见为RAM用户授权

    说明

    完成授权后,即可以使用RAM用户登录控制台操作目标资源。具体操作,请参见RAM用户登录阿里云控制台

相关文档

  • 您可以查看RAM用户的个人权限和查看RAM用户继承用户组的权限。具体操作,请参见查看RAM用户的权限

  • 当RAM用户不再需要某些权限或离开组织时,可以将这些权限移除。具体操作,请参见为RAM用户移除权限

  • 您可以查看RAM用户支持的多因素认证方式、使用说明和使用限制说明。更多信息,请参见什么是MFA

  • 通过RAM的权限管理功能,您可以创建自定义权限策略并授予RAM用户,RAM用户便可以登录操作审计服务进行相应的操作。具体操作,请参见通过RAM对操作审计进行权限管理

  • 本页导读 (1)
文档反馈