默认情况下,您可以使用阿里云账号操作该账号下的所有云桌面资源,但如果使用的是RAM用户,您需要先为RAM用户授权,然后才能使用RAM用户实现对云桌面资源的管控。本文为您介绍如何为RAM用户授权。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

功能介绍

访问控制RAM是阿里云提供的管理用户身份与资源访问权限的服务,支持在一个阿里云账号下创建多个身份(例如:RAM用户),同时支持给单个身份或一组身份分配不同的权限,从而实现不同RAM用户拥有不同资源访问权限的目的。

默认情况下,RAM用户没有任何权限,您可以根据业务场景为RAM用户授予相应的权限策略;权限策略分为系统策略和自定义策略。更多信息,请参见权限策略概览。无影云桌面默认提供以下系统策略:
权限策略名称 说明 描述
AliyunECDFullAccess 管理无影云桌面的权限。 操作云桌面所有权限管理的资源。
AliyunECDReadOnlyAccess 只读访问无影云桌面的权限。 查看云桌面所有权限管理的资源。
AliyunECDRamUserAccess 通过客户端使用云桌面的权限。
说明 仅旧版RAM目录支持使用RAM用户登录客户端,即如果使用的工作区账号类型为RAM目录(终端用户使用RAM用户登录客户端)时,必须为RAM用户进行授权。对于不对接AD的简单场景,新版支持便捷用户,便捷用户无需进行授权操作。
支持查询、连接、重启云桌面,以及开关机。
AliyunECDTagFullAccess 管理云桌面桌面标签的权限。 操作云桌面标签的权限,包括创建、删除和查询云桌面标签。
AliyunECDOfficeSiteFullAccess 管理无影云桌面工作区的权限。 操作工作区的权限,包括创建、查看、编辑、修改、销毁和迁移。
AliyunECDDesktopFullAccess 管理无影云桌面桌面的权限。 操作桌面管理的权限,包括编辑、修改、释放或转换计费方式等。
AliyunECDUserFullAccess 管理无影云桌面用户的权限。 操作用户管理的权限,包括创建用户、同步用户、查看、锁定、删除用户、桌面授权、重置密码、用户分组管理和用户MFA设备管理。
AliyunECDPolicyGroupFullAccess 管理无影云桌面全局安全配置和策略的权限。 安全审计和策略管理的权限,包括创建、查看、修改、删除全局策略与配置项。
AliyunECDTechnicalSupportFullAccess 管理无影云桌面技术支持的权限。 操作或者查看用户云桌面和应用程序的权限。
  • 操作用户云桌面的权限。例如:关闭、重置和重新启动会话主机、全局管理会话、执行所有会话主机命令和会话相关命令。
  • 管理远程进程和应用程序的权限,对云桌面或桌面会话执行远程协助操作。例如:结束应用程序的进程、结束用户桌面会话、查看会话主机资源、查看用户的网络数据等。
  • 登录无影云桌面控制台并查看相关资源的权限。例如:查看用户、查看用户重置密码、会话信息、以及会话连接记录等详细信息。

您还可以创建自定义策略并授权,以更大程度满足您的业务需求。如何创建自定义策略,请参见创建自定义权限策略

操作步骤

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏选择身份管理 > 用户
  3. 找到待授权的RAM用户,单击对应操作列中的添加权限
  4. 添加权限面板,完成相关配置。
    相关配置说明如下表所示。
    参数 描述
    授权范围 选择权限在当前阿里云账号生效或者在指定资源组内生效。目前云桌面还未支持资源组功能,请选择整个云账号
    授权主体 需要授权的RAM用户。系统将自动填入您选择的RAM用户,您也可以手动添加其它RAM用户。
    选择权限策略 根据业务需求选择对应的权限。
  5. 单击确定
  6. 确认授权应用范围和权限策略,单击完成

执行结果

您为RAM用户授予相应的权限策略,则RAM用户具有查看或管理指定资源的权限。

例如为RAM用户授予AliyunECDReadOnlyAccess权限,RAM用户登录无影控制台可查看云桌面资源。如果在总览页面单击创建工作区,则弹出提示框提醒用户无权限。