本文介绍了通过RAM的权限管理功能,创建相应的权限策略,从而对云服务器(ECS)进行权限管理,以满足RAM用户操作ECS的多种需求。

前提条件

请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册。详情请参见账号注册

基本信息

使用RAM对ECS进行权限管理前,需先了解几个常用的权限策略。

权限策略 描述
AliyunECSFullAccess 为RAM用户授予ECS的完全管理权限。
AliyunECSReadOnlyAccess 为RAM用户授予ECS的只读访问权限。
说明 查看ECS的权限定义,请参见ECS产品文档中的鉴权规则

将自定义策略授权给RAM用户

  1. 根据下述ECS授权样例创建相应的自定义策略。

    详情请参见创建自定义策略

  2. 找到创建好的权限策略,单击其权限策略名称
  3. 单击引用记录 > 新增授权
  4. 被授权主体处输入需要授权的用户名称或ID。
  5. 单击确定
    说明 您也可以直接对用户用户组授予创建好的权限策略,详情请参见为RAM用户授权为用户组授权

ECS授权样例

  • 示例1:授权RAM用户管理2台指定的ECS实例。

    假设您的账号购买了多个实例,而作为RAM管理员,您希望仅授权其中的2个实例给某个RAM用户。实例ID分别为:i-001,i-002。 

    {
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": [
                  "acs:ecs:*:*:instance/i-001",
                  "acs:ecs:*:*:instance/i-002"
                  ]
    },
    {
      "Action": "ecs:Describe*",
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}
    说明
    • 授予该权限策略的RAM用户可以查看所有的实例及资源,但只能操作其中2个实例。
    • Describe*在权限策略中是必须的,否则用户在控制台将无法看到任何实例,使用API、CLI或SDK直接对两个实例进行操作是可以的。
  • 示例2:仅授权RAM用户查看青岛的ECS实例,但不允许查看磁盘及快照信息。

    查看ECS资源列表的授权粒度可以到Region+资源类型的级别。 

    {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ecs:Describe*",
      "Resource": "acs:ecs:cn-qingdao:*:instance/*"
    }
  ],
  "Version": "1"
}
  • 示例3:授权RAM用户创建快照权限。

    若RAM用户已拥有ECS实例管理员权限, 但仍不能创建磁盘快照,再次授予RAM用户指定磁盘的权限即可正常使用。ECS实例ID:inst-01,磁盘ID:dist-01。

    {
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": [
        "acs:ecs:*:*:instance/inst-01"
      ]
    },
    {
      "Action": "ecs:CreateSnapshot",
      "Effect": "Allow",
      "Resource": [
        "acs:ecs:*:*:disk/dist-01",
        "acs:ecs:*:*:snapshot/*"
      ]
    },
    {
      "Action": [
        "ecs:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}