默认情况下,您可以使用阿里云账号操作该账号下的所有云桌面资源,但如果您使用的是RAM用户,则需要为RAM用户授权后才能进行操作。本文介绍如何为RAM用户授权。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

背景信息

访问控制RAM是阿里云提供的管理用户身份与资源访问权限的服务,支持在一个阿里云账号下创建多个身份(例如:RAM用户),并允许给单个身份或一组身份分配不同的权限,从而实现不同RAM用户拥有不同资源访问权限的目的。

默认情况下,RAM用户没有任何权限,为RAM用户授权时,您可以根据业务场景为其授予相应的权限策略。默认提供以下三种系统权限策略:
  • AliyunECDFullAccess:管理云桌面资源的权限,即包括操作云桌面资源的所有权限。
  • AliyunECDReadOnlyAccess:只读访问云桌面资源的权限,即仅支持查询云桌面资源。
  • AliyunECDRamUserAccess:通过客户端使用云桌面的权限,包括查询、连接、重启云桌面,以及开关机。
说明 如果您有特殊的业务需求,可以创建自定义策略再进行授权。关于如何创建自定义策略,请参见创建自定义策略

操作步骤

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏选择人员管理 > 用户
  3. 找到待授权的RAM用户,单击对应操作列中的添加权限
  4. 添加权限面板,完成相关配置。
    相关配置说明如下表所示。
    参数 描述
    授权应用范围 选择权限在当前阿里云账号生效或者在指定资源组内生效。目前云桌面还未支持资源组功能,请选择整个云账号
    被授权主体 需要授权的RAM用户。系统将自动填入您选择的RAM用户,您也可以手动添加其它RAM用户。
    选择权限 根据需要选择对应的权限。常见场景如下:
    • 操作管理云桌面资源:在系统策略中选择AliyunECDFullAccess。
    • 仅查看云桌面资源:在系统策略中选择AliyunECDReadOnlyAccess。
    • 通过客户端使用云桌面:在系统策略中选择AliyunECDRamUserAccess。
      说明 仅旧版RAM目录支持使用RAM用户登录客户端,即如果使用的工作区账号类型为RAM目录(终端用户使用RAM用户登录客户端)时,必须为RAM用户进行授权。对于不对接AD的简单场景,新版支持便捷用户,便捷用户无需进行授权操作。
  5. 单击确定
  6. 确认授权应用范围和权限策略,单击完成

执行结果

  • 如果为RAM用户授权了AliyunECDFullAccess,则该RAM用户可以通过控制台或者openAPI完成所有云桌面相关操作。
  • 如果为RAM用户授权了AliyunECDReadOnlyAccess,则该RAM用户可以通过控制台或者openAPI进行云桌面相关的查询操作。
  • 如果为RAM用户授权了AliyunECDRamUserAccess,且之前已有RAM目录(即账号类型为RAM目录的工作区),则为该RAM用户创建分配云桌面后,该RAM用户可以通过客户端使用云桌面。