通用权限策略

我们有为常见访问需求的用户提供以下2种通用权限策略,可选择适合自己的权限。可直接从“可选授权策略名称”中搜以下括号中策略名进行选择。

  • 只读访问Elasticsearch的权限,可用于只读用户(AliyunElasticsearchReadOnlyAccess)
  • 管理Elasticsearch的权限,可用于管理员(AliyunElasticsearchFullAccess)
    说明 如果以上2种通用权限策略无法满足您的需求,可参考下面的描述自定义符合您需求的权限策略。

购买实例权限(后付费&预付费)

访问主用户VPC权限
  • [“vpc:DescribeVSwitch*”,“vpc:DescribeVpc*”]
    说明 可参考系统模板 AliyunVPCReadOnlyAccess

子用户订单权限

  • [“bss:PayOrder”]
    说明 可参考系统模板 AliyunBSSOrderAccess

API 对应权限

Method URI Resource Action
GET /instances instances/* ListInstance
POST /instances instances/* CreateInstance
GET /instances/$instanceId instances/$instanceId DescribeInstance
DELETE /instances/$instanceId instances/$instanceId DeleteInstance
POST /instances/$instanceId/actions/restart instances/$instanceId RestartInstance
PUT /instances/$instanceId instances/$instanceId UpdateInstance

授权样例参考

  • 授权资源类型(例如: $regionid,$accountid,$instanceId 等)。
  • Resource 中的es实例也可以使用通配符 * 来表示。
授权样例(1)

给accountId为1234的主账号下的某个子账号,赋予华东1区所有实例在控制台中拥有(除了创建实例权限)之外的所有操作权限,同时限制只能指定的IP才能访问。

该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。
  1. 创建一个策略
    {
      "Statement": [
        {
          "Action": [
            "elasticsearch:ListInstance",
            "elasticsearch:DescribeInstance",
            "elasticsearch:DeleteInstance",
            "elasticsearch:RestartInstance",
            "elasticsearch:UpdateInstance"
          ],
          "Condition": {
            "IpAddress": {
              "acs:SourceIp": "xxx.xx.xxx.x/xx"
            }
          },
          "Effect": "Allow",
          "Resource": "acs:elasticsearch:cn-hangzhou:1234:instances/*"
        }
      ],
      "Version": "1"
    }
  2. 把当前策略授权给您指定的子账号。
授权样例(2)

给accountId为1234的主账号下的某个子账号,赋予华东1区指定实例在控制台中拥有(除了创建实例权限)之外的所有操作权限,同时限制只能指定的IP才能访问。

该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。
  1. 创建一个策略
    {
      "Statement": [
        {
          "Action": [
            "elasticsearch:ListInstance"
          ],
          "Condition": {
            "IpAddress": {
              "acs:SourceIp": "xxx.xx.xxx.x/xx"
            }
          },
          "Effect": "Allow",
          "Resource": "acs:elasticsearch:cn-hangzhou:1234:instances/*"
        },
        {
          "Action": [
            "elasticsearch:DescribeInstance",
            "elasticsearch:DeleteInstance",
            "elasticsearch:RestartInstance",
            "elasticsearch:UpdateInstance"
          ],
          "Condition": {
            "IpAddress": {
              "acs:SourceIp": "xxx.xx.xxx.x/xx"
            }
          },
          "Effect": "Allow",
          "Resource": "acs:elasticsearch:cn-hangzhou:1234:instances/$instanceId"
        }
      ],
      "Version": "1"
    }
  2. 把当前策略授权给您指定的子账号。
授权样例(3)

给accountId为1234的主账号下的某个子账号,赋予所有阿里云Elasticsearch支持区域,所有实例在控制台中拥有所有操作权限。

该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。
  1. 创建一个策略
    {
      "Statement": [
        {
          "Action": [
              "elasticsearch:*"
                ],
          "Effect": "Allow",
          "Resource": "acs:elasticsearch:*:1234:instances/*"
        }
      ],
      "Version": "1"
    }
  2. 把当前策略授权给您指定的子账号。
授权样例(4)

给accountId为1234的主账号下的某个子账号,赋予所有阿里云Elasticsearch支持区域,指定实例在控制台中拥有(除了创建实例权限,查看实例列表权限)之外的所有操作权限。

该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。
  1. 创建一个策略
    {
      "Statement": [
        {
          "Action": [
              "elasticsearch:DescribeInstance",
              "elasticsearch:DeleteInstance",
              "elasticsearch:UpdateInstance",
              "elasticsearch:RestartInstance"
                ],
          "Effect": "Allow",
          "Resource": "acs:elasticsearch:*:1234:instances/$instanceId"
        }
      ],
      "Version": "1"
    }
  2. 把当前策略授权给您指定的子账号。