使用RAM用户(子账号)登录计算巢控制台时,RAM用户(子账号)默认没有任何权限,您需要为之添加权限,否则会出现弹窗报错。本文介绍如何为RAM用户(子账号)添加计算巢服务权限。

前提条件

已创建RAM用户(子账号)。具体操作,请参见创建RAM用户

背景信息

  • RAM用户是由阿里云账号(主账号)或者具有管理员权限的其他RAM用户(子账号)或RAM角色创建,创建成功后,RAM用户(子账号)归属于阿里云账号,它不是独立的阿里云账号。
  • RAM用户(子账号)拥有独立的登录密码或访问密码,且一个阿里云账号下可以创建多个RAM用户(子账号)。
  • RAM用户(子账号)必须在获得授权后,才能登录控制台并创建服务实例。您可以根据业务场景为其授予相应的权限策略。
    若您只登录计算巢控制台,则只需要获取计算巢的系统权限即可,计算巢提供以下两种系统权限策略:
    • AliyunComputeNestSupplierFullAccess:管理计算巢服务(ComputeNest)的商家侧权限,该权限可以查看和编辑服务商侧的视图。
    • AliyunComputeNestSupplierReadOnlyAccess:只读访问计算巢服务(ComputeNest)的商家侧权限,该权限仅能查看服务商侧的视图,不能编辑服务商侧的视图。
    若您需要创建服务实例,则除获取管理计算巢服务的商家侧权限(AliyunComputeNestSupplierFullAccess)外,您还需要获取云资源的权限。云资源权限分为必须获取的权限和非必须获取的权限。
    • 必须获取的云资源权限即创建所有服务实例都需要的权限。必须获取的云资源权限如下:
      • AliyunVPCFullAccess:管理专有网络(VPC)的权限。
      • AliyunECSFullAccess:管理云服务器服务(ECS)的权限。
      • AliyunTagAdministratorAccess:管理标签服务(TAG)和所有阿里云产品标签的权限。
      • AliyunCloudMonitorFullAccess:管理云监控(CloudMonitor)的权限。
      • AliyunROSFullAccess:管理资源编排服务(ROS)的权限。
    • 非必须获取的云资源权限即根据服务实例的业务需求,需要创建除必须的云资源外的其他资源。例如,创建服务实例时,云资源需要绑定公网IP时,您需要先获取公网IP的管理权限(AliyunEIPFullAccess),授权的详细信息,请参考下面的操作步骤。支持RAM的云服务,请参见支持RAM的云服务

操作步骤

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限页面,为RAM用户添加权限。
    1. 选择授权应用范围。
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务
    2. 输入授权主体。
      授权主体即需要授权的RAM用户,系统会自动填入当前的RAM用户,您也可以添加其他RAM用户。
    3. 选择权限策略。
      计算巢服务常用策略如下:
      • 管理计算巢服务:在系统策略中选择AliyunComputeNestSupplierFullAccess。
      • 仅查看计算巢服务:在系统策略中选择AliyunComputeNestSupplierReadOnlyAccess。
  5. 单击确定
    添加权限页面,可以查看权限添加结果并单击完成查看