使用资源组限制RAM用户管理指定的ECS实例

本文为您介绍如何使用阿里云RAM和资源组对ECS实例进行分组并授权,限制RAM用户只能查看和管理被授权ECS实例的需求。

操作步骤

以下将提供一个示例,仅允许RAM用户(Alice)查看和管理ECS实例(i-001),无权查看和管理其他ECS实例。您可以将ECS实例加入到资源组,利用资源组进行分组授权。

说明

在以下整个授权过程中,ECS实例可以正常工作,不会产生任何影响。

以下操作使用账号管理员完成。

  1. RAM控制台,创建RAM用户(Alice)。

    具体操作,请参见创建RAM用户

  2. 资源管理控制台,创建资源组(ECS-Admin)。

    具体操作,请参见创建资源组

  3. 资源管理控制台,将ECS实例(i-001)加入资源组(ECS-Admin)。

    ECS实例加入资源组有以下两种方式,请您根据实际情况选择合适的方式:

    • 对于新创建的ECS实例,您可以在创建的同时加入资源组(ECS-Admin)。具体操作,请参见自定义购买实例

    • 对于已有的ECS实例,您可以将其转入到对应的资源组(ECS-Admin)。具体操作,请参见跨资源组转移资源

  4. RAM控制台,为RAM用户(Alice)授权。

    其中,授权范围选择资源组(ECS-Admin),授权主体选择RAM用户(Alice),权限策略选择系统策略(AliyunECSFullAccess)。具体操作,请参见为RAM用户授权资源组授权

    说明

    在实际业务环境中,建议您遵循最小化授权原则,通过创建自定义权限策略,授予RAM用户刚刚好的权限即可,避免权限过大带来的安全风险。

结果验证

  1. 使用RAM用户(Alice)登录ECS控制台

    具体操作,请参见RAM用户登录阿里云控制台

  2. 在左侧导航栏,选择实例与镜像 > 实例

  3. 在顶部菜单栏左上角处,选择地域。

  4. 在顶部菜单栏左上角处的资源组下拉列表,选择资源组(ECS-Admin)。

    选择资源组-zh.jpg

    重要

    只有RAM用户选择了对应资源组后,RAM用户才能看到资源组内的ECS实例。否则,RAM用户无法看到任何ECS实例。

  5. 在实例列表中,查看和管理对应的ECS实例(i-001)。

相关文档

ECS实例的关联资源,可以手动转移到对应资源组,也可以使用资源管理提供的关联资源转组功能,进行关联资源的自动转组。目前仅支持云盘、网卡和EIP跟随ECS实例自动转组。具体操作,请参见关联资源跟随转组