在跨账号共享自定义镜像(包括共享加密自定义镜像)场景中,如果您需要实现某些特定的权限控制,可以参考本文内容添加不同的权限策略,从而实现不同资源访问权限的目的。

操作场景

本操作以阿里云账号(主账号)A、B,RAM用户B1(阿里云账号B的子账号)为例,介绍在不同的场景下添加不同的权限策略可以实现的权限控制。场景说明如下:

准备工作

  • 获取阿里云账号(主账号)A和阿里云账号B(主账号)的账号ID。

    获取方式:将鼠标移至控制台右上角的用户头像,在弹出的用户信息框中,如果标识了账号为主账号,则显示的账号ID即为阿里云账号ID。

  • 阿里云账号B需授予RAM用户B1(阿里云账号B的子账号)创建ECS实例的权限,添加的权限策略示例如下:
    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
  • 如果您共享的是加密自定义镜像,还需要添加其他相应的权限策略。具体操作,请参见共享加密自定义镜像

仅允许RAM用户B1使用阿里云账号A共享的自定义镜像创建ECS实例

添加权限

  1. 阿里云账号B创建自定义权限策略。
    具体操作,请参见通过脚本编辑模式创建自定义权限策略
    创建自定义权限策略如下,请您根据实际情况将ImageOwnerId替换为阿里云账号A的账号ID。
    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Effect": "Deny",
      "Resource": "acs:ecs:cn-hangzhou:*:image/*",//指定地域
      "Condition": {
        "StringNotEquals": {
          "ecs:ImageOwnerId": "123456789012****" //禁用除owner=123456789012****以外的镜像
        }
      }
    }
  ]
}
  2. 阿里云账号B为RAM用户B1添加已创建的自定义权限策略。
    具体操作,请参见为RAM用户授权

结果验证

RAM用户B1使用自定义镜像创建ECS实例。
  • 使用阿里云账号A共享的自定义镜像创建ECS实例。
  • 使用其他阿里云账号(例如阿里云账号C)共享的自定义镜像创建ECS实例。

仅允许RAM用户B1使用自定义镜像创建ECS实例

添加权限

  1. 阿里云账号B创建自定义权限策略。
    具体操作,请参见通过脚本编辑模式创建自定义权限策略
    创建自定义权限策略如下:
    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance"
            ],
            "Effect": "Deny",
            "Resource": "acs:ecs:cn-hangzhou:*:instance/*",//指定地域
            "Condition": {
                "StringNotEquals": {
                    "ecs:ImageSource": "Custom"  //仅允许使用自定义镜像
                }
            }
        }
    ]
}
  2. 阿里云账号B为RAM用户B1添加已创建的自定义权限策略。
    具体操作,请参见为RAM用户授权

结果验证

RAM用户B1使用自定义镜像创建ECS实例。
  • 使用共享的自定义镜像创建ECS实例。
  • 使用公共镜像或者市场镜像创建ECS实例。
    • 操作步骤:具体操作,请参见使用向导创建实例
    • 操作结果:确认订单时会提示如下报错信息。自定义镜像报错提示