使用RAM用户(子账号)登录计算巢控制台时,RAM用户(子账号)默认没有任何权限,您需要为之添加权限,否则会出现弹窗报错。本文介绍如何为RAM用户(子账号)添加计算巢服务权限。
前提条件
已创建RAM用户(子账号)。具体操作,请参见创建RAM用户。
背景信息
- RAM用户是由阿里云账号(主账号)或者具有管理员权限的其他RAM用户(子账号)或RAM角色创建,创建成功后,RAM用户(子账号)归属于阿里云账号,它不是独立的阿里云账号。
- RAM用户(子账号)拥有独立的登录密码或访问密码,且一个阿里云账号下可以创建多个RAM用户(子账号)。
RAM用户(子账号)必须在获得授权后,才能登录控制台并创建服务实例。您可以根据业务场景为其授予相应的权限策略。
若您只登录计算巢控制台,则只需要获取计算巢的系统权限即可,计算巢提供以下两种系统权限策略:
AliyunComputeNestUserFullAccess:管理计算巢服务(ComputeNest)的用户侧权限,该权限可以查看用户侧的视图,也可以对用户侧的视图进行编辑。
AliyunComputeNestUserReadOnlyAccess:只读访问计算巢服务(ComputeNest)的用户侧权限,该权限仅能查看用户侧的视图,不能编辑。
若您需要创建服务实例,则管理计算巢服务的用户侧权限(AliyunComputeNestUserFullAccess)外,您还需要获取云资源的权限。云资源权限分为必须获取的权限和非必须获取的权限。
必须获取的云资源权限即创建所有服务实例都需要的权限。必须获取的云资源权限如下:
AliyunVPCFullAccess:管理专有网络(VPC)的权限。
AliyunECSFullAccess:管理云服务器服务(ECS)的权限。
AliyunTagAdministratorAccess:管理标签服务(TAG)和所有阿里云产品标签的权限。
AliyunCloudMonitorFullAccess:管理云监控(CloudMonitor)的权限。
AliyunROSFullAccess:管理资源编排服务(ROS)的权限。
非必须获取的云资源权限即根据服务实例的业务需求,需要创建除必须的云资源外的其他资源。例如,创建服务实例时,云资源需要绑定公网IP时,您需要先获取公网IP的管理权限(AliyunEIPFullAccess),授权的详细信息,请参考下面的操作步骤。支持RAM的云服务,请参见支持RAM的云服务。
操作步骤
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏中,选择。
在用户页面,单击模板RAM用户操作列的添加权限。
在添加权限页面,为RAM用户添加权限。
选择授权应用范围。
整个云账号:权限在当前阿里云账号内生效。
指定资源组:权限在指定的资源组内生效。
说明指定资源组授权生效的前提是该云服务已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组管理指定的ECS实例。
指定授权主体。
授权主体即需要添加权限的RAM用户。
选择权限策略。
根据需要选择对应的权限。常见场景如下:
管理计算巢服务实例:在系统策略中选择AliyunComputeNestUserFullAccess。
仅查看计算巢服务实例:在系统策略中选择AliyunComputeNestUserReadOnlyAccess。
- 单击确定。在添加权限页面,可以查看权限添加结果并单击完成。
- 本页导读 (0)