为RAM用户授权

默认情况下,您可以使用阿里云账号完整操作该账号下的ECI资源,但如果您使用的是RAM用户,则需要进行授权,RAM用户才可以操作ECI资源。本文介绍如何为RAM用户授权。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

权限说明

为RAM用户授权时,您可以根据使用需求为其授予相应的权限策略。ECI相关的权限如下:

权限

说明

AliyunECIReadOnlyAccess

只读访问ECI资源的权限。默认提供的系统权限策略,包含的权限如下:

  • eci:Describe*:获取ECI相关资源列表

  • eci:List*:获取ECI相关资源列表

  • ecs:DescribeSecurityGroups:获取安全组列表

  • vpc:DescribeVSwitches:获取交换机列表

  • vpc:DescribeVpcs:获取VPC列表

AliyunECIFullAccess

管理ECI资源的权限。默认提供的系统权限策略,包含的权限如下:

  • eci:ECI相关资源的所有操作权限

  • ecs:DescribeSecurityGroups:获取安全组列表

  • vpc:DescribeVSwitches:获取交换机列表

  • vpc:DescribeVpcs:获取VPC列表

  • vpc:DescribeEipAddresses:获取EIP列表

在ECI控制台操作时所需的其他权限

如果您需要使用ECI控制台进行操作,则除了AliyunECIFullAccess默认的权限外,还需要以下权限:

  • ram:ListRoles:获取实例的RAM角色

  • nas:DescribeFileSystems:获取NAS文件系统列表

  • oss:ListBuckets:获取OSS Bucket列表

  • vpc:DescribeCommonBandwidthPackages:获取共享带宽包列表

  • cr:GetRepoList:获取镜像仓库列表

  • cr:GetRepoTags:获取镜像Tag

  • cr:GetImageManifest:获取镜像详情

  • cr:SearchRepo:搜索镜像仓库

操作步骤

  1. 使用阿里云账号登录RAM控制台

  2. 如果想要为RAM用户授予在控制台操作ECI资源的权限,您需要创建对应的自定义权限策略。

    1. 在左侧导航栏选择权限管理 > 权限策略

    2. 单击创建权限策略

    3. 选择脚本编辑页签,复制以下脚本到策略内容中,然后单击继续编辑基本信息

      {
          "Statement": [
              {
                  "Action": "ram:ListRoles",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "nas:DescribeFileSystems",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "oss:ListBuckets",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "vpc:DescribeCommonBandwidthPackages",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": [
                      "cr:GetRepoList",
                      "cr:GetRepoTags",
                      "cr:GetImageManifest",
                      "cr:SearchRepo"
                  ],
                  "Effect": "Allow",
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    4. 输入策略名称,单击确定

  3. 根据需要为RAM用户添加权限。

    1. 在左侧导航栏选择身份管理 > 用户

    2. 找到待授权的RAM用户,单击对应操作列中的添加权限

    3. 在弹出面板,完成相关配置。

      相关配置说明如下表所示。

      参数

      描述

      资源范围

      根据需要选择权限的生效范围:

      • 账号级别:在当前阿里云账号内生效。

      • 资源组级别:在指定的资源组内生效。

      授权主体

      需要授权的RAM用户。系统将自动填入您选择的RAM用户,您也可以手动添加其它用户。

      权限策略

      根据需要选择对应的权限。常见场景如下:

      • 只查看ECI资源:在系统策略中选择AliyunECIReadOnlyAccess。

      • 通过OpenAPI操作ECI资源:在系统策略中选择AliyunECIFullAccess。

      • 通过控制台操作ECI资源:在系统策略中选择AliyunECIFullAccess,在自定义策略中选择第2步创建的自定义策略。

    4. 单击确认新增授权,然后按照页面提示完成后续操作。

相关文档

如果您想进一步控制RAM用户操作ECI资源的权限,可以通过资源组和标签实现分组分权限管理。更多信息,请参见: