在协同使用资源的场景下,根据实际职责和权限需求,您可以创建多个RAM用户并为其分别授予不同的权限,以实现对不同资源的分权管理,从而提高管理效率并降低信息泄露风险。本文介绍如何创建RAM用户并授予特定权限策略,以实现对云服务器ECS资源的访问控制。
操作步骤
创建RAM用户。
具体操作,请参见创建RAM用户。
可选:创建自定义策略。
阿里云提供了访问云服务器ECS资源的系统策略,更多信息,请参见系统策略示例。如果系统策略不能满足需求,您还可以创建自定义策略,具体操作,请参见创建自定义权限策略。
创建自定义策略时,如果配置模式选择脚本配置,Statement结构下的Action和Resource参数取值说明,请参见鉴权列表。更多参数取值说明,请参见权限策略语法和结构。
脚本配置策略示例一:允许RAM用户创建按量付费实例。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeImages", "vpc:DescribeVpcs", "vpc:DescribeVSwitches", "ecs:DescribeSecurityGroups", "ecs:DescribeKeyPairs", "ecs:DescribeTags", "ecs:RunInstances" ], "Resource": "*" } ], "Version": "1" }
脚本配置策略示例二:允许RAM用户创建包年包月实例。其中bss相关API主要用于查看并支付包年包月订单,其对应的系统策略为
AliyunBSSOrderAccess
。重要通过RunInstances创建包年包月实例时,若传入autoPay=true(创建实例时自动支付),则不需要授权bss相关API。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeImages", "vpc:DescribeVpcs", "vpc:DescribeVSwitches", "ecs:DescribeSecurityGroups", "ecs:DescribeKeyPairs", "ecs:DescribeTags", "ecs:RunInstances", "bss:DescribeOrderList", "bss:DescribeOrderDetail", "bss:PayOrder", "bss:CancelOrder" ], "Resource": "*" } ], "Version": "1" }
脚本配置策略示例三:允许RAM用户创建ECS实例后查询实例和块存储信息。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeDisks" ], "Resource": "*" } ], "Version": "1" }
授予RAM用户访问云服务器ECS资源的权限策略。具体操作,请参见为RAM用户授权。
说明完成授权后,即可以使用RAM用户登录控制台操作目标资源。具体操作,请参见RAM用户登录阿里云控制台。
相关文档
您可以查看RAM用户的个人权限和查看RAM用户继承用户组的权限。具体操作,请参见查看RAM用户的权限。
当RAM用户不再需要某些权限或离开组织时,可以将这些权限移除。具体操作,请参见为RAM用户移除权限。
您可以查看RAM用户支持的多因素认证方式、使用说明和使用限制说明。更多信息,请参见什么是MFA。
通过RAM的权限管理功能,您可以创建自定义权限策略并授予RAM用户,RAM用户便可以登录操作审计服务进行相应的操作。具体操作,请参见通过RAM对操作审计进行权限管理。
- 本页导读 (1)