默认情况下,您可以使用阿里云账号完整操作该账号下的ECI资源,但如果您使用的是RAM用户,则需要进行授权,RAM用户才可以操作ECI资源。本文介绍如何为RAM用户授权。
前提条件
已创建RAM用户。具体操作,请参见创建RAM用户。
权限说明
为RAM用户授权时,您可以根据使用需求为其授予相应的权限策略。ECI相关的权限如下:
权限 | 说明 |
AliyunECIReadOnlyAccess | 只读访问ECI资源的权限。默认提供的系统权限策略,包含的权限如下:
|
AliyunECIFullAccess | 管理ECI资源的权限。默认提供的系统权限策略,包含的权限如下:
|
在ECI控制台操作时所需的其他权限 | 如果您需要使用ECI控制台进行操作,则除了AliyunECIFullAccess默认的权限外,还需要以下权限:
|
操作步骤
使用阿里云账号登录RAM控制台。
如果想要为RAM用户授予在控制台操作ECI资源的权限,您需要创建对应的自定义权限策略。
在左侧导航栏选择
。单击创建权限策略。
选择脚本编辑页签,复制以下脚本到策略内容中,然后单击继续编辑基本信息。
{ "Statement": [ { "Action": "ram:ListRoles", "Effect": "Allow", "Resource": "*" }, { "Action": "nas:DescribeFileSystems", "Effect": "Allow", "Resource": "*" }, { "Action": "oss:ListBuckets", "Effect": "Allow", "Resource": "*" }, { "Action": "vpc:DescribeCommonBandwidthPackages", "Effect": "Allow", "Resource": "*" }, { "Action": [ "cr:GetRepoList", "cr:GetRepoTags", "cr:GetImageManifest", "cr:SearchRepo" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
输入策略名称,单击确定。
根据需要为RAM用户添加权限。
在左侧导航栏选择
。找到待授权的RAM用户,单击对应操作列中的添加权限。
在弹出面板,完成相关配置。
相关配置说明如下表所示。
参数
描述
资源范围
根据需要选择权限的生效范围:
账号级别:在当前阿里云账号内生效。
资源组级别:在指定的资源组内生效。
授权主体
需要授权的RAM用户。系统将自动填入您选择的RAM用户,您也可以手动添加其它用户。
权限策略
根据需要选择对应的权限。常见场景如下:
只查看ECI资源:在系统策略中选择AliyunECIReadOnlyAccess。
通过OpenAPI操作ECI资源:在系统策略中选择AliyunECIFullAccess。
通过控制台操作ECI资源:在系统策略中选择AliyunECIFullAccess,在自定义策略中选择第2步创建的自定义策略。
单击确认新增授权,然后按照页面提示完成后续操作。
相关文档
如果您想进一步控制RAM用户操作ECI资源的权限,可以通过资源组和标签实现分组分权限管理。更多信息,请参见: