您可以在RAM中使用资源组、标签、资源ARN三种授权方式,限制RAM用户管理指定的ECS实例。
使用资源组(推荐)
资源组是阿里云上进行资源分组管理的一种机制。您可以创建一个资源组,将指定的ECS实例加入资源组,然后为RAM用户授予资源组范围内的权限,实现指定RAM用户管理指定资源组内的ECS实例。该方式可以直接使用系统策略,操作便捷,学习成本低。对于更加精细的授权,您也可以使用自定义策略。而且,该方式扩展性比较好,后续如有新增资源,直接加入对应资源组即可,不用再次授权。
具体操作,请参见使用资源组限制RAM用户管理指定的ECS实例。
该方式授权后,RAM用户必须在ECS控制台上选择对应的资源组,才能看到有权限的ECS实例。未选择资源组时,看不到任何ECS实例。
使用标签
标签是云资源的标识,可以帮助您从不同维度对具有相同特征的云资源进行分类、搜索和聚合。您可以为ECS实例绑定标签,然后创建自定义策略并为RAM用户授权,利用标签控制RAM用户对ECS实例的访问。该方式不能使用系统策略,只能在自定义策略中通过条件(Condition)指定授权的标签,使用灵活,授权粒度细,但是,您需要掌握自定义策略的用法,具有一定的使用门槛。
具体操作,请参见使用标签管理指定的ECS实例。
该方式授权后,RAM用户必须在ECS控制台上选择对应的标签,才能看到有权限的ECS实例。未选择标签时,看不到任何ECS实例。
使用资源ARN
您可以直接为RAM用户在整个云账号范围内授权指定ECS实例的管理权限,使用资源ARN指定需要授权的ECS实例。该方式可以使用系统策略和自定义策略。该方式需要您逐个对RAM用户进行授权,适用业务场景简单、RAM用户、ECS实例较少的情况。
具体操作,请参见通过RAM对ECS进行权限管理。
该方式授权后,RAM用户能看到阿里云账号(主账号)下的所有ECS实例,但只能操作有权限的ECS实例。
常见问题
为RAM用户授予了ECS的管理权限(系统策略AliyunECSFullAccess或自定义策略中 Action
为ecs:*
),可以管理ECS实例,但确无法通过Workbench方式远程连接ECS实例,怎么办?
为RAM用户授予ECS的管理权限后,该RAM用户只能通过VNC方式远程连接ECS实例。如需通过Workbench方式远程连接,您还需要在自定义策略中单独添加Workbench的权限,即需要添加Action
为ecs-workbench:*
的权限。具体操作,请参见创建自定义权限策略。
相关文档
除ECS实例外,您也可以通过上述方法对其他资源进行授权。操作前,您务必确认对应资源是否支持对应的鉴权方式。