阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 1938阅读
  • 0回复

[云安全技术和产品专区 ]访问控制常见问题云服务器 ECS 授权

级别: 论坛粉丝
发帖
1227
云币
2325
Og"\@n  
KOD%>+vG$  
问题 <nF1f(ky  
/Xw wB  
  • [url=https://help.aliyun.com/knowledge_detail/58900.html?spm=5176.doc28773.6.721.OidFOb#查看 ECS 的权限定义][backcolor=transparent]在哪里可以查看 ECS 的权限定义?[/url]
  • [url=https://help.aliyun.com/knowledge_detail/58900.html?spm=5176.doc28773.6.721.OidFOb#为一个子用户授予 ECS 服务的完全管理权限][backcolor=transparent]怎样为一个子用户授予 ECS 服务的完全管理权限?[/url]
  • [url=https://help.aliyun.com/knowledge_detail/58900.html?spm=5176.doc28773.6.721.OidFOb#为一个子用户授予只读访问 ECS 的权限][backcolor=transparent]怎样为一个子用户授予只读访问 ECS 的权限?[/url]
  • [url=https://help.aliyun.com/knowledge_detail/58900.html?spm=5176.doc28773.6.721.OidFOb#仅允许子用户查看青岛的 ECS 实例,但是不允许查看磁盘信息及快照信息][backcolor=transparent]怎样仅允许子用户查看青岛的 ECS 实例,但是不允许查看磁盘信息及快照信息?[/url]
  • [url=https://help.aliyun.com/knowledge_detail/58900.html?spm=5176.doc28773.6.721.OidFOb#授权一个子用户管理两台指定的 ECS 实例][backcolor=transparent]怎样授权一个子用户管理两台指定的 ECS 实例?[/url]
  • [backcolor=transparent]怎样授权子用户创建快照权限?
j.UO>1{7  
s@|TQ9e |j  
查看 ECS 的权限定义 LS4E.Xdn  
{(^%2dk83C  
a`zw5  
  请参考 ECS OpenAPI 文档中的 ECS 鉴权规则 E=l^&[dIl  
D<xDj#Z~1  
为一个子用户授予 ECS 服务的完全管理权限 +<n8O~h  
\Gy+y`   
8[H)t Kf8  
  在 RAM 控制台上,为此子用户(或该用户所在群组)附加系统授权策略 “AliyunECSFullAccess”。 hi9@U]H#  
p}h9>R  
为一个子用户授予只读访问 ECS 的权限 ,%,.c^-  
;r3|EA35  
G!w?\-  
  在 RAM 控制台中创建一个子用户,并为此子用户附加系统授权策略 “AliyunECSReadOnlyAccess”。 jLreN#:9  
  添加授权策略的方式请参考 授权 Ml9  
_~uYNvmg  
仅允许子用户查看青岛的 ECS 实例,但是不允许查看磁盘信息及快照信息 iFaC[(1@a  
q%k _C0  
s%t =*+L\  
  查看 ECS 资源列表的授权粒度可以到 “Region + 资源类型” 的级别。 3+iQct[  
  下面的样例仅授权查看青岛的 ECS 实例信息。
  1. [backcolor=transparent]{
  2. [backcolor=transparent]  [backcolor=transparent]"Statement"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  3. [backcolor=transparent]    [backcolor=transparent]{
  4. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
  5. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"ecs:DescribeRegions"[backcolor=transparent],
  6. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"*"
  7. [backcolor=transparent]    [backcolor=transparent]},
  8. [backcolor=transparent]    [backcolor=transparent]{
  9. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
  10. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"ecs:Describe*"[backcolor=transparent],
  11. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"acs:ecs:cn-qingdao:*:instance/*"
  12. [backcolor=transparent]    [backcolor=transparent]}
  13. [backcolor=transparent]  [backcolor=transparent]],
  14. [backcolor=transparent]  [backcolor=transparent]"Version"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"1"
  15. [backcolor=transparent]}
??=7pFm  
nh%Q";  
授权一个子用户管理两台指定的 ECS 实例 TS;?>J-  
G:{\-R'  
pc/]t^]p  
  假设您的租户账号购买了 10 个 ECS 实例。而作为 RAM 管理员,您希望仅仅授权其中的 2 个 ECS 实例给某个 RAM 用户。那么您可以创建如下的定义授权策略: IP l]$j>N  
  [backcolor=transparent]注意:授予该策略的 RAM 用户是可以列出所有的 ECS 实例,但只能操作(比如 StopInstance 操作)其中的两台。目前,不支持 RAM 用户仅仅查看自己有访问权限的 ECS 实例。 &!O~ f  
  这里假设您的两台实例 ID 分别是 i-001 和 i-002;首先您需要创建一条自定义授权策略,包含管理 i-001,i-002 的权限以及查看 ECS 所有资源的权限:
  1. [backcolor=transparent]{
  2. [backcolor=transparent]  [backcolor=transparent]"Statement"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  3. [backcolor=transparent]    [backcolor=transparent]{
  4. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"ecs:*"[backcolor=transparent],
  5. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
  6. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  7. [backcolor=transparent]                  [backcolor=transparent]"acs:ecs:*:*:instance/i-001"[backcolor=transparent],
  8. [backcolor=transparent]                  [backcolor=transparent]"acs:ecs:*:*:instance/i-002"
  9. [backcolor=transparent]                  [backcolor=transparent]]
  10. [backcolor=transparent]    [backcolor=transparent]},
  11. [backcolor=transparent]    [backcolor=transparent]{
  12. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"ecs:Describe*"[backcolor=transparent],
  13. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
  14. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"*"
  15. [backcolor=transparent]    [backcolor=transparent]}
  16. [backcolor=transparent]  [backcolor=transparent]],
  17. [backcolor=transparent]  [backcolor=transparent]"Version"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"1"
  18. [backcolor=transparent]}
T>pz?e^5&  
  然后为子用户附加该自定义授权策略即可。 =bB7$#al  
HDT-f9%}<4  
授权子用户创建快照权限 &Ch~$Wb^  
;U$EM+9  
S#^-VZ~U4x  
  如果已经授权给子账户指定 ECS 的管理员权限后,依然不能创建磁盘快照,因为快照是基于磁盘基础上,需要授予子用户指定磁盘的权限。 y,=TB#  
  假设您需要指定子账户管理实例 ID 为 inst-01 的 ecs,并且具备给 ID 为:dist-01 的磁盘创建快照的权限。您可以创建如下的自定义授权策略:
  1. [backcolor=transparent]{
  2. [backcolor=transparent]  [backcolor=transparent]"Statement"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  3. [backcolor=transparent]    [backcolor=transparent]{
  4. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"ecs:*"[backcolor=transparent],
  5. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
  6. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  7. [backcolor=transparent]        [backcolor=transparent]"acs:ecs:*:*:instance/inst-01"
  8. [backcolor=transparent]      [backcolor=transparent]]
  9. [backcolor=transparent]    [backcolor=transparent]},
  10. [backcolor=transparent]    [backcolor=transparent]{
  11. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"ecs:CreateSnapshot"[backcolor=transparent],
  12. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
  13. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  14. [backcolor=transparent]        [backcolor=transparent]"acs:ecs:*:*:disk/dist-01"[backcolor=transparent],
  15. [backcolor=transparent]        [backcolor=transparent]"acs:ecs:*:*:snapshot/*"
  16. [backcolor=transparent]      [backcolor=transparent]]
  17. [backcolor=transparent]    [backcolor=transparent]},
  18. [backcolor=transparent]    [backcolor=transparent]{
  19. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  20. [backcolor=transparent]        [backcolor=transparent]"ecs:Describe*"
  21. [backcolor=transparent]      [backcolor=transparent]],
  22. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
  23. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"*"
  24. [backcolor=transparent]    [backcolor=transparent]}
  25. [backcolor=transparent]  [backcolor=transparent]],
  26. [backcolor=transparent]  [backcolor=transparent]"Version"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"1"
  27. [backcolor=transparent]}
dSIZsapH  
  然后为子用户附加该自定义授权策略即可。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 66 - 53 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)