您可以创建自定义权限策略,通过RAM用户实现对指定轻量应用服务器实例实现精细化权限管理。
前提条件
已创建RAM用户。具体操作,请参见创建RAM用户。
操作步骤
步骤一:创建自定义权限策略
使用阿里云账号(主账号)登录RAM控制台。
在左侧导航栏选择权限管理 > 权限策略。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,选择可视化编辑或脚本编辑。
本示例为指定轻量应用服务器实例选择包含
Instance的所有操作,实际使用中您可以按需选择。可视化编辑
该方式操作简单,易于上手。
效果选择允许。
服务选择轻量应用服务器。
操作选择指定操作的操作,并按需选择指定的操作。
本示例选择包含
Instance的所有操作,可在搜索框中输入Instance过滤,实际使用中您可以按需选择指定的操作。
资源选择指定资源,并在
资源ARN格式acs:swas-open:{#regionId}:{#accountId}:instance/{#instanceId}后,单击添加资源。
在弹出的添加资源对话框中,配置指定的地域ID和实例ID后,单击确定。
说明您可以选中匹配全部,快速选择对应配置项的全部资源。
脚本编辑
该方式使用灵活,适用于对权限策略语法比较熟悉的用户。在脚本编辑窗口中,粘贴如下内容并替换对应的值:
regionId:替换为地域ID,例如cn-beijing。accountId:替换为对应的阿里云主账号ID,例如:160998252992****。instanceId:替换为对应的轻量应用服务器实例ID,例如:a16ff078e66f4515ad96e93aebb0****。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "swas-open:ListInstances", "swas-open:AddInstanceDomainDnsRecord", "swas-open:AttachInstanceToLoadBalancer", "swas-open:AttachVpcInstanceToCen", "swas-open:BindInstanceDomain", "swas-open:CreateInstanceKeyPair", "swas-open:CreateInstances", "swas-open:DeleteInstance", "swas-open:DeleteInstanceKeyPair", "swas-open:DescribeInstanceDomains", "swas-open:DetachInstanceFromLoadBalancer", "swas-open:DetachVpcInstanceToCen", "swas-open:LoginInstance", "swas-open:ModifyDatabaseInstanceDescription", "swas-open:ModifyDatabaseInstanceParameter", "swas-open:ModifyInstanceVncPassword", "swas-open:RebootInstance", "swas-open:RebootInstances", "swas-open:RemoveInstanceDomainDnsRecord", "swas-open:RenewInstance", "swas-open:RestartDatabaseInstance", "swas-open:StartDatabaseInstance", "swas-open:StartInstance", "swas-open:StartInstances", "swas-open:StopDatabaseInstance", "swas-open:StopInstance", "swas-open:StopInstances", "swas-open:UpdateInstanceAttribute", "swas-open:UpgradeInstance", "swas-open:UploadInstanceKeyPair", "swas-open:DescribeInstanceDomainDnsRecord", "swas-open:UnbindInstanceDomains", "swas-open:DescribeDatabaseInstanceMetricData", "swas-open:DescribeDatabaseInstanceParameters", "swas-open:DescribeDatabaseInstances", "swas-open:DescribeInstanceDomainRegistrationStatus", "swas-open:DescribeInstanceDomainResolveStatus", "swas-open:DescribeInstanceDomainsSetting", "swas-open:DescribeInstanceKeyPair", "swas-open:DescribeInstancePasswordsSetting", "swas-open:DescribeInstanceVncUrl", "swas-open:ListInstancePlansModification", "swas-open:ListInstanceStatus", "swas-open:ListInstancesTrafficPackages", "swas-open:ListUserCenAttachedVpcInstances" ], "Resource": "acs:swas-open:regionId:accountId:instance/instanceId" } ] }在创建权限策略页面,单击确定。
在创建权限策略弹窗,输入权限策略名称和备注,然后单击确定。
步骤二:为指定RAM用户授权
在左侧导航栏,选择身份管理 > 用户。
在用户页面,单击目标RAM用户操作列的添加权限。
在权限策略区域,在搜索框中搜索并勾选已经创建的自定义策略。
单击确认新增权限。
步骤三:验证结果
使用RAM用户访问轻量应用服务器页面,并选择授权的服务器所在的地域。
操作时会弹出没有权限的对话框,单击关闭即可。
在搜索框中搜索已授权的轻量应用服务器实例ID,即可正常查看和操作该服务器实例。
说明仅能通过搜索查看指定被授权的轻量应用服务器实例,如果搜索查看其他未被授权的轻量应用服务器实例,将提示没有权限。
由于仅授权管理指定轻量应用服务器实例的权限,在不同的页面系统会校验其他操作的权限,如果弹出没有权限对话框,关闭即可,不影响已授权的操作。
