本文介绍了通过RAM的权限管理功能,创建相应的权限策略,从而对云服务器(ECS)进行权限管理,以满足RAM用户操作ECS的多种需求。
前提条件
将自定义策略授权给RAM用户
ECS授权样例
- 示例1:授权RAM用户管理2台指定的ECS实例。
假设您的账号购买了多个实例,而作为RAM管理员,您希望仅授权其中的2个实例给某个RAM用户。实例ID分别为i-001、i-002。
{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-001", "acs:ecs:*:*:instance/i-002" ] }, { "Action": "ecs:Describe*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
说明- 授予该权限策略的RAM用户可以查看所有的实例及资源,但只能操作其中2个实例。
Describe*
在权限策略中是必须的,否则用户在控制台将无法看到任何实例,但使用API、CLI或SDK直接对两个实例进行操作是可以的。
- 示例2:授权RAM用户仅可以查看青岛的ECS实例,但不允许查看磁盘及快照信息。
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:Describe*", "Resource": "acs:ecs:cn-qingdao:*:instance/*" } ], "Version": "1" }
说明 查看ECS资源列表的授权粒度可以到Region+资源类型的级别。如果您想授权RAM用户查看其他地区的ECS实例,可以将Resource
中的cn-qingdao
替换为其他区域ID。关于区域ID,详情请参见地域和可用区。 - 示例3:授权RAM用户创建快照。
如果RAM用户已拥有ECS实例管理员权限, 但仍不能创建磁盘快照,再次授予RAM用户指定磁盘的权限即可正常使用。ECS实例ID为
inst-01
,磁盘ID为dist-01
。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/inst-01" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:disk/dist-01", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
在文档使用中是否遇到以下问题
更多建议
匿名提交