RAM用户使用资源中心

如果您想通过RAM用户使用资源中心,您需要为RAM用户授予对应的权限策略。

背景信息

访问资源中心的权限

遵循最小授权原则,为RAM用户授予合适的权限。

  • 系统策略

    • AliyunResourceCenterFullAccess:管理资源中心(ResourceCenter)的权限。

    • AliyunResourceCenterReadOnlyAccess:只读访问资源中心(ResourceCenter)的权限。

  • 自定义策略

    如果系统策略不能满足您的需求,您可以创建自定义策略。资源中心的授权信息,请参见授权信息

搜索资源的权限

单账号

  • 云资源的查看权限

    为RAM用户授予目标云资源的只读查看权限后,该RAM用户就能在资源中心查看到对应的云资源。

    例如:您希望RAM用户可以在资源中心查看账号下所有的云资源,您可以为RAM用户授予系统权限策略ReadOnlyAccess。如果您仅希望RAM用户查看某个特定的云资源,例如VPC资源,您可以只为RAM用户授予VPC系统权限策略AliyunVPCReadOnlyAccess

  • 资源组范围内的云资源查看权限

    如果账号下的云资源已按资源组进行了分组管理,您可以为RAM用户仅授予资源组范围内的云资源查看权限,则该RAM用户仅能查看资源组内的云资源,满足资源隔离诉求。具体操作,请参见添加RAM身份并授权

跨账号

为资源目录管理账号的RAM用户授予系统权限策略AliyunResourceCenterFullAccess后,该RAM用户就能跨账号搜索资源。

管理资源组的权限

  • 资源组创建权限

    为RAM用户授予创建资源组的权限(ram:CreateResourceGroup)后,该RAM用户就能在资源中心创建资源组。

  • 跨资源组转移资源(转组)权限

    为RAM用户授予目标云资源的转组权限后,该RAM用户就能在资源中心进行目标云资源的转组操作。

例如:为RAM用户授予以下自定义权限策略后,该RAM用户就能在资源中心创建资源组、对VPC资源进行转组。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateResourceGroup",
        "vpc:MoveResourceGroup"
      ],
      "Resource": "*"
    }
  ]
}

管理云资源标签的权限

为RAM用户授予标签系统权限策略AliyunTagAdministratorAccess后,该RAM用户就可以在资源中心为云资源绑定和解绑标签。