Memberikan izin pada elastic container instance kepada pengguna RAM - Elastic Container Instance

Secara default, Anda dapat menggunakan akun Alibaba Cloud untuk mengelola sumber daya Elastic Container Instance. Namun, ketika Pengguna Resource Access Management (RAM) dibuat untuk akun Alibaba Cloud, pengguna RAM tersebut tidak memiliki izin untuk mengelola sumber daya dalam akun Alibaba Cloud. Anda harus memberikan izin yang diperlukan kepada pengguna RAM sebelum dapat mengelola sumber daya Elastic Container Instance sebagai pengguna RAM. Topik ini menjelaskan cara memberikan izin pada sumber daya Elastic Container Instance kepada pengguna RAM.

Prasyarat

Pengguna RAM telah dibuat. Untuk informasi tentang cara membuat pengguna RAM, lihat Buat pengguna RAM.

Deskripsi Izin

Anda dapat melampirkan kebijakan izin kepada pengguna RAM untuk memberikan izin tertentu kepada pengguna RAM. Tabel berikut menjelaskan kebijakan yang terkait dengan sumber daya Elastic Container Instance.

Kebijakan	Deskripsi
AliyunECIReadOnlyAccess	Memberikan izin baca-saja pada sumber daya Elastic Container Instance. Ini adalah kebijakan sistem default dan mencakup izin berikut: eci:Describe: izin untuk menanyakan sumber daya Elastic Container Instance eci:List: izin untuk menanyakan sumber daya Elastic Container Instance ecs:DescribeSecurityGroups: izin untuk menanyakan grup keamanan vpc:DescribeVSwitches: izin untuk menanyakan vSwitches vpc:DescribeVpcs: izin untuk menanyakan virtual private clouds (VPC)
AliyunECIFullAccess	Memberikan izin untuk mengelola sumber daya Elastic Container Instance. Ini adalah kebijakan sistem default dan mencakup izin berikut: eci: semua izin untuk mengelola sumber daya Elastic Container Instance ecs:DescribeSecurityGroups: izin untuk menanyakan grup keamanan vpc:DescribeVSwitches: izin untuk menanyakan vSwitches vpc:DescribeVpcs: izin untuk menanyakan VPC vpc:DescribeEipAddresses: izin untuk menanyakan elastic IP addresses (EIP)
Izin lainnya untuk melakukan operasi di Konsol Elastic Container Instance	Jika Anda ingin pengguna RAM melakukan operasi di Konsol Elastic Container Instance, Anda harus memberikan izin berikut kepada RAM selain izin default yang diberikan oleh kebijakan AliyunECIFullAccess: ram:ListRoles: izin untuk menanyakan peran RAM dari instance nas:DescribeFileSystems: izin untuk menanyakan file system network-attached storage (NAS) oss:ListBuckets: izin untuk menanyakan bucket Object Storage Service (OSS) vpc:DescribeCommonBandwidthPackages: izin untuk menanyakan rencana bandwidth EIP cr:GetRepoList: izin untuk menanyakan repositori gambar cr:GetRepoTags: izin untuk menanyakan tag gambar dalam repositori cr:GetImageManifest: izin untuk menanyakan informasi manifest tentang sebuah gambar cr:SearchRepo: izin untuk mencari repositori gambar

Prosedur

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Anda.

Jika Anda ingin memberikan kepada pengguna RAM izin untuk mengelola sumber daya Elastic Container Instance di Konsol Elastic Container Instance, buatlah kebijakan kustom.

Di panel navigasi di sebelah kiri, pilih Permissions > Policies.
Di halaman Kebijakan, klik Create Policy.

Klik tab JSON, salin skrip berikut ke editor kode, lalu klik OK.

{
    "Statement": [
        {
            "Action": "ram:ListRoles",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "nas:DescribeFileSystems",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "oss:ListBuckets",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "vpc:DescribeCommonBandwidthPackages",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "cr:GetRepoList",
                "cr:GetRepoTags",
                "cr:GetImageManifest",
                "cr:SearchRepo"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

Masukkan nama untuk kebijakan di bidang Nama dan klik OK.

Berikan izin kepada pengguna RAM sesuai kebutuhan Anda.

Di panel navigasi di sebelah kiri, pilih Identities > Users.
Temukan pengguna RAM yang ingin Anda beri izin dan klik Add Permissions di kolom Aksi.

Di panel yang muncul, konfigurasikan parameter.

Tabel berikut menjelaskan parameter.

Parameter	Deskripsi
Resource Scope	Cakupan otorisasi. Akun: Izin berlaku untuk akun Alibaba Cloud saat ini. ResourceGroup: Izin berlaku untuk grup sumber daya yang ditentukan.
Principal	Pengguna RAM yang ingin Anda beri izin. Pengguna RAM yang Anda pilih akan otomatis terisi di bidang Principal. Anda juga dapat menentukan pengguna RAM lainnya.
Policy	Kebijakan yang ingin Anda lampirkan ke pengguna RAM. Pilih kebijakan yang sesuai dengan kebutuhan Anda. Jika Anda ingin pengguna RAM hanya melihat sumber daya Elastic Container Instance, pilih kebijakan sistem AliyunECIReadOnlyAccess. Jika Anda ingin pengguna RAM mengelola sumber daya Elastic Container Instance dengan memanggil Operasi API, pilih kebijakan sistem AliyunECIFullAccess. Jika Anda ingin pengguna RAM mengelola sumber daya Elastic Container Instance dengan menggunakan Konsol Elastic Container Instance, pilih kebijakan sistem AliyunECIFullAccess dan kebijakan kustom yang Anda buat di Langkah 2.

Klik Grant permissions dan ikuti petunjuk di layar untuk menyelesaikan operasi selanjutnya.

Referensi

Jika Anda ingin mengontrol izin pengguna RAM pada sumber daya Elastic Container Instance, Anda dapat menggunakan grup sumber daya dan label untuk mengelola pengguna RAM berdasarkan grup dan izin. Untuk informasi lebih lanjut, lihat: