通过资源组授权特定实例

操作步骤

在创建阿里云ES实例时，如果您的资源组选择了默认资源组，在为RAM用户授权时，虽然可以选择指定资源组，但是由于实例创建在默认资源组下，因此即使选择了指定资源组，该资源组中也没有对应实例。

您需要先为RAM用户授权整个云账号的自定义策略权限，再创建资源组并关联特定资源，最后再为RAM用户授权指定资源组的权限。

步骤一：为RAM用户添加整个云账号的自定义策略权限

1. 使用RAM管理员登录RAM控制台。

2. 新建自定义权限策略。

   具体操作请参见创建自定义权限策略。请参考以下示例配置权限策略内容：

   {
       "Statement": [
           {
               "Action": [
                   "elasticsearch:*"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/<yourInstanceId>"
           },
           {
               "Action": [
                   "elasticsearch:ListCollectors"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:<yourAccountId>:collectors/*"
           },
           {
               "Action": [
                   "elasticsearch:ListInstance",
                   "elasticsearch:ListSnapshotReposByInstanceId"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "cms:ListAlarm",
                   "cms:DescribeActiveMetricRuleList",
                   "cms:QueryMetricList"
               ],
               "Resource": "*"
           },
           {
               "Action": [
                   "elasticsearch:ListTags"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:*:tags/*"
           },
           {
               "Action": [
                   "elasticsearch:GetEmonProjectList"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:*:emonProjects/*"
           },
           {
               "Action": [
                   "elasticsearch:getEmonUserConfig"
               ],
               "Effect": "Allow",
               "Resource": "acs:elasticsearch:*:*:emonUserConfig/*"
           },
          {
          "Action": "ims:*",
          "Effect": "Allow",
          "Resource": "acs:ims::<yourAccountId>:application/*"
          }
       ],
       "Version": "1"
   }

   使用示例时，您需要替换以下变量值。

   变量	说明
   <yourAccountId>	替换为您的阿里云账号ID，不支持通配符*。阿里云账号ID的获取方法：鼠标移至控制台右上角的用户头像上，即可查看到账号ID。
   <yourInstanceId>	替换为待授权的目标实例ID，不支持通配符*。获取方式，请参见查看实例的基本信息。

   因为阿里云Elasticsearch控制台的实例管理页面，集成调用了Beats采集器、阿里云高级监控报警服务和标签Tags等外部依赖接口，所以，当控制台仅对特定资源组的实例进行管理时，需要配置整个阿里云账号下的自定义策略，才能保证控制台页面通过RAM用户权限的校验。

   说明

   配置好访问特定实例的RAM权限后，您还可以通过Elasticsearch和Logstsah的接口直接访问特定的实例。直接访问特性实例的方式分别如下：

   • https://elasticsearch.console.aliyun.com/{regionId}/instances/{instanceId}/base

   • https://elasticsearch.console.aliyun.com/{regionId}/logstashes/{instanceId}/base

3. 创建RAM用户。

   具体操作请参见创建RAM用户。

4. 为RAM用户添加整个云账号的自定义策略权限。

   具体操作，请参见为RAM用户授权。配置时，选择资源范围为账号级别，并在权限策略区域，选择您创建的自定义权限策略。

（条件步骤）步骤二：创建资源组并关联特定资源组的权限策略

1. 登录资源管理控制台。

2. 创建一个资源组。

   具体操作请参见创建资源组。

3. 将默认资源组下的特定实例转出到自定义资源组下。

   具体操作请参见跨资源组转移资源。

4. 为RAM用户授予指定资源组下管理Elasticsearch的权限。

   具体操作请参见添加RAM身份并授权。在新增授权页面，选择授权主体为自定义的RAM用户，在权限策略区域，选择AliyunElasticsearchFullAccess系统权限策略。

   说明

   完成授权后，授权主体将获得当前资源组内资源的相应权限。

步骤三：验证权限策略配置是否生效

1. 以RAM用户身份登录阿里云Elasticsearch控制台。

2. 在左侧导航栏，单击Elasticsearch实例。

3. 在顶部菜单栏，选择地域和自定义的目标资源组，即可查看该地域和资源组下的ES实例列表。