使用无影云电脑时,您可以借助阿里云服务访问控制 RAM(Resource Access Management)实现权限管理,也可以采用无影云电脑内置的权限管理功能,通过创建管理员身份并授权相应的角色,就可以实现不同管理员身份对无影云电脑的不同操作项进行管控。本文介绍无影云电脑权限管理方案。
背景信息
访问控制 RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务,无影云电脑已经接入该阿里云服务,您可以创建RAM用户并为其授予云电脑资源相关的权限策略,达到不同RAM用户具有不同云电脑资源访问权限的目的。详细信息,请参见什么是访问控制和RAM用户概览。
无影云电脑权限管理概述
无影云电脑内置的权限管理功能从无影云电脑控制台操作出发,借助管理员和角色的概念提供了一套展示直观、权限设置便捷的权限管理方案。
相关概念
为了帮助您更好地理解无影云电脑权限管理功能,下文列举了相关概念。
概念 | 说明 |
阿里云账号(Alibaba Cloud account) | 开始使用阿里云服务前,首先需要注册一个阿里云账号。阿里云账号是阿里云资源归属、资源使用计量计费的基本主体。阿里云账号为其名下所拥有的资源付费,并对其名下所有资源拥有完全控制权限。 默认情况下,资源只能被阿里云账号所访问,任何其他用户访问都需要获得阿里云账号的显式授权。阿里云账号就是操作系统的root或Administrator,所以我们有时称它为根账号或主账号。 |
管理员 | 管理员是无影云电脑权限管理方案的一种实体身份类型,是资源的查看者或操作者,常常与某个确定的人对应。 管理员具备的特点
阿里云主账号创建管理员以及管理员登录控制台查看或操作某个功能,请参见创建、修改或删除管理员。 |
角色 | 角色是无影云电脑权限管理方案中权限的载体,定义了对某些资源和数据查看、编辑、修改或删除的权限,常常与一些操作项对应。
|
功能介绍
无影云电脑立足业务操作本身,从自身管控平台出发为您提供功能操作维度的权限管控方案。通过定义管理员和角色,借助管理员和角色之间的关联关系,不同管理员登录控制台后仅支持查看或操作角色自身限定的功能入口。
优势
无影云电脑权限管理方案具有以下优势:
功能操作维度的权限管控
为不同管理员绑定不同的角色,管理员登录无影云电脑控制台后,仅能看到角色自身限定的操作功能入口,执行角色限定的操作。
按需授权更简单
对比RAM用户的权限管控方案,无影云电脑权限管理方案无需编写权限策略脚本,只需在控制台按需创建角色,勾选所需功能的操作项,然后关联管理员,便可实现权限管理。
RAM用户权限管理和无影云电脑权限管理方案的关联
下文列举了使用RAM用户完成权限管理和无影云电脑权限管理方案的关联。
项目 | 无影云电脑权限管理 | RAM用户权限管理 |
授权方式 | 通过无影云电脑控制台创建管理员并关联角色,操作简单。 | 在访问控制控制台上授权,如果系统策略无法满足业务需求,需要手动编写自定义权限策略脚本,相对复杂。 |
授权范围 | 对一个管理员身份绑定角色时,该角色的可授权范围是无影云电脑的资源操作项。 重要 无影云电脑权限管理方案只对无影云电脑服务生效,如果需要访问其他阿里云服务,需要为RAM用户单独授权相应服务的权限策略。 | 对一个RAM身份主体添加无影云电脑权限策略时,该策略的可授权范围仅仅是该资源组内的资源。 |
无影云电脑控制台页面显示差异 | 控制台页面仅展示已授权的功能模块和操作项按钮。 | 控制台展示所有资源,但是仅可针对已授权资源执行操作,操作未授权的资源时会提示无权限。 |
权限生效优先级 |
|
相关信息
使用无影云电脑的过程中,如果需要访问其他阿里云服务,您可以参考下文列举的自定义权限策略脚本,创建自定义权限策略后并将其授权给RAM用户。具体操作,请参见创建自定义权限策略和为RAM用户授权。
CreateServiceLinkedRole权限
访问跨云产品服务并需要创建相关资源时,需要给RAM用户授予CreateServiceLinkedRole权限,相应权限策略脚本如下。
{ "Version": "1", "Statement": [ { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "gws.aliyuncs.com" } } } ] }
访问云监控(CloudMonitor)权限
当需要使用监控相关功能时,需要给RAM用户授予云监控服务的权限,相应的权限策略脚本如下。
{ "Version": "1", "Statement": [ { "Action": [ "cms:*" ], "Effect": "Allow", "Resource": "*" } ] }
访问操作审计(ActionTrail)权限
当需要使用审计相关功能时需要访问操作审计云服务,需要给RAM用户授予操作审计服务的权限,相应的权限策略脚本如下。
{ "Version": "1", "Statement": [ { "Action": [ "actiontrail:Lookup*", "actiontrail:Describe*", "actiontrail:Get*", "actiontrail:Check*", "actiontrail:List*" ], "Resource": "*", "Effect": "Allow" } ] }
bss:PayOrder和bssapi:QueryAccountBalance权限
当您需要在无影云电脑页面下单时,需要给RAM用户授予费用中心云服务的bss:PayOrder和bssapi:QueryAccountBalance权限,相应的权限策略脚本如下。具体操作,请参见为RAM用户授予在云电脑页面下单的权限。