文档

为RAM用户授予无影云电脑系统权限策略

默认情况下,您可以使用阿里云账号操作该账号下的所有无影云电脑资源,但如果使用的是RAM用户,您需要先为RAM用户授权,然后才能使用RAM用户实现对无影云电脑资源的管控。本文为您介绍如何为RAM用户授权。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

功能介绍

访问控制RAM是阿里云提供的管理用户身份与资源访问权限的服务,支持在一个阿里云账号下创建多个身份(例如:RAM用户),同时支持给单个身份或一组身份分配不同的权限,从而实现不同RAM用户拥有不同资源访问权限的目的。更多信息,请参见什么是访问控制

默认情况下,RAM用户没有任何权限,您可以根据业务场景为RAM用户授予相应的权限策略;权限策略分为系统策略和自定义策略。更多信息,请参见权限策略概览无影云电脑默认提供以下系统策略:

权限策略名称

说明

描述

AliyunECDFullAccess

管理无影云电脑的权限。

操作云电脑所有权限管理的资源。

AliyunECDReadOnlyAccess

只读访问无影云电脑的权限。

查看云电脑所有权限管理的资源。

AliyunECDRamUserAccess

通过客户端使用云电脑的权限。

说明

仅旧版RAM目录支持使用RAM用户登录客户端,即如果使用的办公网络(原工作区)账号类型为RAM目录(终端用户使用RAM用户登录客户端)时,必须为RAM用户进行授权。对于不对接AD的简单场景,新版支持便捷用户,便捷用户无需进行授权操作。

支持查询、连接、重启云电脑,以及开关机。

AliyunECDTagFullAccess

管理云电脑标签的权限。

操作云电脑标签的权限,包括创建、删除和查询云电脑标签。

AliyunECDOfficeSiteFullAccess

管理无影云电脑办公网络的权限。

操作办公网络的权限,包括创建、查看、编辑、修改、销毁和迁移。

AliyunECDDesktopFullAccess

管理云电脑的权限。

操作云电脑管理的权限,包括编辑、修改、释放或转换计费方式等。

AliyunECDUserFullAccess

管理无影云电脑用户的权限。

操作用户管理的权限,包括创建用户、同步用户、查看、锁定、删除用户、云电脑授权、重置密码、用户分组管理和用户MFA设备管理。

AliyunECDPolicyGroupFullAccess

管理无影云电脑全局安全配置和策略的权限。

安全审计和策略管理的权限,包括创建、查看、修改、删除全局策略与配置项。

AliyunECDTechnicalSupportFullAccess

管理无影云电脑技术支持的权限。

操作或者查看用户云电脑和应用程序的权限。

  • 操作用户云电脑的权限。例如:关闭、重置和重新启动会话主机、全局管理会话、执行所有会话主机命令和会话相关命令。

  • 管理远程进程和应用程序的权限,对云电脑或云电脑会话执行远程协助操作。例如:结束应用程序的进程、结束用户云电脑会话、查看会话主机资源、查看用户的网络数据等。

  • 登录无影云电脑控制台并查看相关资源的权限。例如:查看用户、查看用户重置密码、会话信息、以及会话连接记录等详细信息。

您还可以创建自定义策略并授权,以更大程度满足您的业务需求。如何创建自定义策略,请参见创建自定义权限策略

操作步骤

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏选择身份管理 > 用户

  3. 找到待授权的RAM用户,单击对应操作列中的添加权限

  4. 添加权限面板,完成相关配置。

    相关配置说明如下表所示。

    参数

    描述

    授权范围

    选择权限在当前阿里云账号生效或者在指定资源组内生效。目前云电脑还未支持资源组功能,请选择整个云账号

    授权主体

    需要授权的RAM用户。系统将自动填入您选择的RAM用户,您也可以手动添加其它RAM用户。

    选择权限策略

    根据业务需求选择对应的权限。

  5. 单击确定

  6. 确认授权应用范围和权限策略,单击完成

执行结果

您为RAM用户授予相应的权限策略,则RAM用户具有查看或管理指定资源的权限。

例如为RAM用户授予AliyunECDReadOnlyAccess权限,RAM用户登录无影云电脑控制台可查看云电脑资源。如果在办公网络 (原工作区)页面单击创建办公网络,则弹出提示框提醒用户无权限。