使用RAM用户(子账号)登录计算巢控制台时,RAM用户(子账号)默认没有任何权限,您需要为之添加权限,否则会出现弹窗报错。本文介绍如何为RAM用户(子账号)添加计算巢服务权限。
前提条件
已创建RAM用户(子账号)。具体操作,请参见创建RAM用户。
背景信息
RAM用户是由阿里云账号(主账号)或者具有管理员权限的其他RAM用户(子账号)或RAM角色创建,创建成功后,RAM用户(子账号)归属于阿里云账号,它并非独立的阿里云账号。
RAM用户(子账号)拥有独立的登录密码或访问密码,且一个阿里云账号下可以创建多个RAM用户(子账号)。
RAM用户(子账号)必须在获得授权后,才能登录控制台并创建服务实例。您可以根据业务场景为其授予相应的权限策略。
若您只登录计算巢控制台,则只需要获取计算巢的系统权限即可,计算巢提供以下两种系统权限策略:
AliyunComputeNestUserFullAccess:管理计算巢服务(ComputeNest)的用户侧权限,该权限可以查看用户侧的视图,也可以对用户侧的视图进行编辑。
AliyunComputeNestUserReadOnlyAccess:只读访问计算巢服务(ComputeNest)的用户侧权限,该权限仅能查看用户侧的视图,不能编辑。
若您需要创建服务实例,则管理计算巢服务的用户侧权限(AliyunComputeNestUserFullAccess)外,您还需要获取云资源的权限。云资源权限分为必须获取的权限和非必须获取的权限。
必须获取的云资源权限即创建所有服务实例都需要的权限。必须获取的云资源权限如下:
AliyunVPCFullAccess:管理专有网络(VPC)的权限。
AliyunECSFullAccess:管理云服务器服务(ECS)的权限。
AliyunTagAdministratorAccess:管理标签服务(TAG)和所有阿里云产品标签的权限。
AliyunCloudMonitorFullAccess:管理云监控(CloudMonitor)的权限。
AliyunROSFullAccess:管理资源编排服务(ROS)的权限。
非必须获取的云资源权限即根据服务实例的业务需求,需要创建除必须的云资源外的其他资源。例如,创建服务实例时,云资源需要绑定公网IP时,您需要先获取公网IP的管理权限(AliyunEIPFullAccess),授权的详细信息,请参考下面的操作步骤。支持RAM的云服务,请参见支持RAM的云服务。
操作步骤
使用RAM管理员登录RAM控制台。
在左侧导航栏中,选择
。在用户页面,单击模板RAM用户操作列的添加权限。
在新增授权页面,为RAM用户添加权限。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
重要指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
选择授权主体。
授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。
选择权限策略。
权限策略是一组访问权限的集合,计算巢服务常用策略如下:
管理计算巢服务的用户侧权限:在系统策略中选择AliyunComputeNestUserFullAccess。
只读访问计算巢服务的用户侧权限:在系统策略中选择AliyunComputeNestUserReadOnlyAccess。
单击确定新增授权。
完成后可以查看权限添加结果。