为RAM用户授权
默认情况下,您可以使用阿里云账号完整操作该账号下的ECI资源,但如果您使用的是RAM用户,则需要进行授权,RAM用户才可以操作ECI资源。本文介绍如何为RAM用户进行授权。
前提条件
已创建RAM用户。具体操作,请参见创建RAM用户。
背景信息
为RAM用户授权时,您可以根据使用需求为其授予相应的权限策略。ECI相关的权限如下:
AliyunECIReadOnlyAccess
只读访问ECI资源的权限。默认提供的系统权限策略,包含的权限如下:
eci:Describe*:获取ECI相关资源列表
eci:List*:获取ECI相关资源列表
ecs:DescribeSecurityGroups:获取安全组列表
vpc:DescribeVSwitches:获取交换机列表
vpc:DescribeVpcs:获取VPC列表
AliyunECIFullAccess
管理ECI资源的权限。默认提供的系统权限策略,包含的权限如下:
eci:ECI相关资源的所有操作权限
ecs:DescribeSecurityGroups:获取安全组列表
vpc:DescribeVSwitches:获取交换机列表
vpc:DescribeVpcs:获取VPC列表
vpc:DescribeEipAddresses:获取EIP列表
在ECI控制台操作时所需的其它权限
如果您需要使用ECI控制台进行操作,则除了AliyunECIFullAccess默认的权限外,还需要以下权限:
ram:ListRoles:获取实例的RAM角色
nas:DescribeFileSystems:获取NAS文件系统列表
oss:ListBuckets:获取OSS Bucket列表
vpc:DescribeCommonBandwidthPackages:获取共享带宽包列表
cr:GetRepoList:获取镜像仓库列表
cr:GetRepoTags:获取镜像Tag
cr:GetImageManifest:获取镜像详情
cr:SearchRepo:搜索镜像仓库
操作步骤
使用阿里云账号登录RAM控制台。
如果想要为RAM用户授予在控制台操作ECI资源的权限,您需要创建对应的自定义权限策略。
在左侧导航栏选择权限管理>权限策略。
单击创建权限策略。
选择脚本编辑页签,复制以下脚本到策略内容中,然后单击继续编辑基本信息。
{ "Statement": [ { "Action": "ram:ListRoles", "Effect": "Allow", "Resource": "*" }, { "Action": "nas:DescribeFileSystems", "Effect": "Allow", "Resource": "*" }, { "Action": "oss:ListBuckets", "Effect": "Allow", "Resource": "*" }, { "Action": "vpc:DescribeCommonBandwidthPackages", "Effect": "Allow", "Resource": "*" }, { "Action": [ "cr:GetRepoList", "cr:GetRepoTags", "cr:GetImageManifest", "cr:SearchRepo" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }输入策略名称,单击确定。
根据需要为RAM用户添加权限。
在左侧导航栏选择身份管理>用户。
找到待授权的RAM用户,单击对应操作列中的添加权限。
在添加权限面板,完成相关配置。
相关配置说明如下表所示。
参数
描述
授权范围
根据需要选择权限的生效范围:
整个云账号:在当前阿里云账号内生效。
指定资源组:在指定的资源组内生效。
授权主体
需要授权的RAM用户。系统将自动填入您选择的RAM用户,您也可以手动添加其它用户。
选择权限
根据需要选择对应的权限。常见场景如下:
只查看ECI资源:在系统策略中选择AliyunECIReadOnlyAccess。
通过openAPI操作ECI资源:在系统策略中选择AliyunECIFullAccess。
通过控制台操作ECI资源:在系统策略中选择AliyunECIFullAccess,在自定义策略中选择第2步创建的自定义策略。
单击确定。
确认授权应用范围和权限策略,然后单击完成。