在当前地域没有VPC时,创建ECS实例会默认创建Default VPC,本文介绍通过创建自定义权限策略实现限制RAM用户创建ECS实例时创建Default VPC的方法。

背景信息

云服务器ECS提供了RAM用户来实现不同业务之间的隔离操作,被赋予AliyunECSFullAccess(管理ECS)权限的RAM用户默认拥有创建ECS、查看ECS、重启ECS等权限。如果您需要限制RAM用户在当前地域没有VPC时禁止创建Default VPC并创建ECS的权限,同时保留其他权限,可通过访问控制RAM自定义策略来实现。查看RAM用户权限,请参见查看RAM用户的权限

步骤一:创建权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
  5. 输入权限策略内容,然后单击下一步:编辑基本信息
    权限策略内容如下,关于权限策略语法结构的详情,请参见权限策略语法和结构
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Deny",
                "Action": "*",
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "vpc:CreateDefaultVpc": [
                            "true"
                        ]
                    }
                }
            }
        ]
    }
  6. 输入权限策略名称备注
  7. 检查并优化权限策略内容。
    • 基础权限策略优化

      系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

      • 删除不必要的条件。
      • 删除不必要的数组。
    • 可选:高级权限策略优化

      您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

      • 拆分不兼容操作的资源或条件。
      • 收缩资源到更小范围。
      • 去重或合并语句。
  8. 单击确定

步骤二:为RAM用户授予权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 可选:创建RAM用户。
    具体操作,请参见创建RAM用户
    说明 如果您已经创建了RAM用户,可跳过该步骤。
  3. 在左侧导航栏,选择身份管理 > 用户
  4. 用户页面,单击目标RAM用户操作列的添加权限
  5. 添加权限面板,为RAM用户添加权限。
    1. 选择授权应用范围。
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务
    2. 输入授权主体。
      授权主体即需要授权的RAM用户,系统会自动填入当前的RAM用户,您也可以添加其他RAM用户。
    3. 选择权限策略。
      说明 每次最多绑定5条策略,如需绑定更多策略,请分次操作。
  6. 单击确定
  7. 单击完成

执行结果

当前地域没有VPC时,该RAM用户通过控制台或API创建ECS时,具体结果如下:
  • 通过控制台创建ECS时,会提示如下错误。创建实例失败
  • 通过调用CreateInstance创建ECS,会提示如下错误。创建实例失败1