Anda dapat memberikan kebijakan akses yang berbeda kepada pengguna Resource Access Management (RAM) untuk mengontrol izin akses mereka. Pendekatan ini menyediakan akses yang aman dan terkendali serta mengurangi risiko terpaparnya pasangan Kunci Akses akun Alibaba Cloud Anda. Topik ini menjelaskan cara memberikan izin dan menyediakan contoh kebijakan untuk Cloud Assistant.
Informasi latar belakang
Kebijakan akses terdiri atas kebijakan kustom yang Anda buat dan kebijakan sistem yang disediakan oleh Alibaba Cloud. Untuk Cloud Assistant, Anda dapat membuat kebijakan kustom untuk mengontrol akses berdasarkan dimensi seperti wilayah, instance Elastic Compute Service (ECS), perintah Cloud Assistant, dan kode aktivasi instans terkelola. Kebijakan tersebut kemudian dapat diberikan kepada pengguna RAM guna mendukung kontrol akses yang fleksibel.
Prosedur
Gunakan akun Alibaba Cloud untuk membuat pengguna RAM.
Untuk informasi selengkapnya, lihat Create a RAM user.
Gunakan akun Alibaba Cloud untuk membuat kebijakan kustom. Untuk informasi selengkapnya, lihat Create custom policies.
Tabel berikut menjelaskan contoh kebijakan kustom untuk fitur Cloud Assistant umum.
Fitur Cloud Assistant
Contoh kebijakan kustom
Cloud Assistant
Cloud Assistant Agent
Perintah Cloud Assistant
Kirim file
Pengiriman catatan eksekusi tugas O&M
Mengkueri dan Memodifikasi Konfigurasi Fitur Pengiriman Catatan Eksekusi Tugas O&M
Mengkueri konfigurasi fitur pengiriman catatan eksekusi tugas O&M
Izin spesifik wilayah untuk pengiriman catatan eksekusi tugas O&M
Mengkueri dan memodifikasi konfigurasi fitur pengiriman catatan operasi sesi
Mengonfigurasi pembatasan regional untuk fitur pengiriman catatan operasi sesi
Instans terkelola
Manajemen sesi
Gunakan akun Alibaba Cloud Anda untuk memberikan izin kepada pengguna RAM yang telah dibuat.
Untuk informasi selengkapnya, lihat Manage permissions for a RAM user.
Tentukan kebijakan kustom yang telah Anda buat.
Tentukan kebijakan sistem yang disediakan oleh Alibaba Cloud.
AliyunECSAssistantFullAccess: Memberikan izin kepada pengguna RAM untuk mengelola layanan Cloud Assistant untuk ECS.
AliyunECSAssistantReadonlyAccess: Memberikan izin read-only kepada pengguna RAM untuk layanan Cloud Assistant untuk ECS.
Anda dapat melihat informasi dasar tentang kebijakan sistem, seperti konten kebijakan, di konsol RAM. Untuk informasi selengkapnya, lihat View the information about a policy.
Lihat informasi pengguna RAM untuk memastikan akses konsol telah diberikan.
Jika Console Access tidak diaktifkan, pengguna RAM hanya dapat menggunakan Cloud Assistant dengan memanggil operasi API. Untuk informasi selengkapnya, lihat View the permissions of a RAM user.
Masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM.
Untuk informasi selengkapnya, lihat Log on to the Alibaba Cloud Management Console as a RAM user.
Masuk ke halaman Cloud Assistant di konsol ECS sebagai pengguna RAM untuk mulai menggunakan Cloud Assistant.
Contoh kebijakan kustom untuk Cloud Assistant
Izin administratif (baca dan tulis) untuk Cloud Assistant
Kebijakan ini memberikan pengguna RAM semua izin kueri dan operasi untuk API Cloud Assistant.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions",
"ecs:RunCommand"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*",
"acs:ecs:*:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}Izin read-only untuk Cloud Assistant
Kebijakan ini memberikan pengguna RAM semua izin kueri untuk API Cloud Assistant.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:DescribeCloudAssistant*",
"ecs:DescribeSendFileResults",
"ecs:DescribeManagedInstances",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}Mengonfigurasi Pembatasan Regional untuk Cloud Assistant
Anda dapat menentukan wilayah dalam elemen kebijakan untuk membatasi izin pengguna RAM hanya pada wilayah tersebut. Misalnya, kebijakan ini memungkinkan pengguna RAM menggunakan Cloud Assistant hanya di wilayah China (Hangzhou).
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions",
"ecs:RunCommand"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:instance/*",
"acs:ecs:cn-hangzhou:*:command/*",
"acs:ecs:cn-hangzhou:*:activation/*",
"acs:ecs:cn-hangzhou:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:servicesettings/*"
]
}
]
}Cloud Assistant Agent
Kueri Agen Asisten Cloud status pemasangan
Operasi API terkait: DescribeCloudAssistantStatus
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri status instalasi Cloud Assistant Agent pada semua instance ECS.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM melihat status instalasi Cloud Assistant Agent hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx000a", "acs:ecs:*:*:instance/i-instancexxx000b" ] } ] }
Instal Cloud Assistant Agent
Operasi API terkait: InstallCloudAssistant
Kebijakan ini memberikan pengguna RAM izin untuk menginstal Cloud Assistant Agent pada instance ECS mana pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM menginstal Cloud Assistant Agent hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Contoh kebijakan kustom untuk perintah Cloud Assistant
Lihat perintah Cloud Assistant
Operasi API terkait: DescribeCommands
Kebijakan ini memberikan pengguna RAM izin untuk melihat semua perintah Cloud Assistant.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }Dengan menetapkan ID perintah dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM melihat hanya perintah tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Hapus perintah Cloud Assistant
Operasi API terkait: DeleteCommand
Kebijakan ini memberikan pengguna RAM izin untuk menghapus semua perintah Cloud Assistant.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }Dengan menetapkan ID perintah dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM menghapus hanya perintah tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Buat perintah Cloud Assistant
Operasi API terkait: CreateCommand
Pengguna RAM harus memiliki setidaknya izin berikut untuk membuat perintah Cloud Assistant.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateCommand"
],
"Resource": [
"acs:ecs:*:*:command/*"
]
}
]
}Modifikasi Perintah Cloud Assistant
Operasi API terkait: ModifyCommand
Kebijakan ini memberikan pengguna RAM izin untuk memodifikasi perintah Cloud Assistant apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }Setelah Anda memberikan izin berikut, pengguna RAM hanya dapat memodifikasi perintah tertentu untuk ID instans yang ditetapkan dalam daftar Resource.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Eksekusi perintah
Operasi API terkait: InvokeCommand
Kebijakan ini memberikan pengguna RAM izin untuk menjalankan perintah pada instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*", "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM menjalankan perintah Cloud Assistant hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*", "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }Dengan menetapkan ID perintah dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM menjalankan hanya perintah tertentu pada instance ECS.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b", "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID perintah dan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM menjalankan hanya perintah tertentu pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }Batasi plugin yang dapat dieksekusi: Kebijakan ini memungkinkan pengguna RAM hanya menjalankan perintah publik bernama ACS-ECS-ExecutePlugin-for-linux.sh, yang sesuai dengan plugin bernama test-plugin.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:command/ACS-ECS-ExecutePlugin-for-linux.sh", "acs:ecs:*:*:instance/*" ], "Condition": { "StringEqualsIgnoreCase": { "ecs:PluginName": [ "test-plugin" ] } } } ] }Tambahkan kondisi tag ke elemen Condition untuk mengontrol instance ECS tempat perintah dapat dijalankan. Misalnya, kebijakan ini memungkinkan perintah dijalankan hanya pada instance ECS yang memiliki tag
test:tony.CatatanSaat Anda menggunakan acs:ResourceTag, resource harus memiliki tag yang dilampirkan. Misalnya, Anda dapat melampirkan tag ke instance ECS, tetapi tidak ke perintah.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:instance/*" ], "Condition": { "StringEquals": { "acs:ResourceTag/Owner": "zxy" } } }, { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:command/*" ] } ] }
Eksekusi perintah segera
Operasi API terkait: RunCommand
Jika Anda menetapkan parameter KeepCommand ke true saat memanggil operasi RunCommand, Anda harus menambahkan baris "acs::ecs:*:*:command/*" ke elemen Resource.
Kebijakan ini memberikan pengguna RAM izin untuk segera menjalankan perintah pada instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM segera menjalankan perintah Cloud Assistant hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }Tambahkan kondisi tag ke elemen Condition untuk mengontrol instance ECS tempat perintah dapat segera dijalankan. Misalnya, kebijakan ini memungkinkan perintah segera dijalankan hanya pada instance ECS yang memiliki tag
test:tony.{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunCommand" ], "Resource": "acs:ecs:*:*:instance/*", "Condition": { "StringEquals": { "acs:ResourceTag/test": "tony" } } } ] }
Hasil Eksekusi Perintah Query
Operasi API terkait: DescribeInvocations
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri hasil eksekusi perintah pada instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM mengkueri hasil eksekusi perintah hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/*" ] } ] }Dengan menetapkan ID perintah dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM mengkueri hasil eksekusi hanya perintah tertentu pada instance ECS.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }Dengan menetapkan ID perintah dan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM mengkueri hasil eksekusi hanya perintah tertentu pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }
Modifikasi informasi eksekusi tugas terjadwal
Operasi API terkait: ModifyInvocationAttribute
Kebijakan ini memberikan pengguna RAM izin untuk memodifikasi informasi eksekusi tugas terjadwal apa pun dan menambahkan instans apa pun ke tugas terjadwal tersebut.
Saat Anda membuat tugas dengan memanggil InvokeCommand atau RunCommand, jika Anda memodifikasi
CommandContentdan menetapkanKeepCommandketrue, perintah baru dibuat untuk retensi jangka panjang (LTR). Dalam kasus ini, Anda harus menambahkanacs:ecs:*:*:command/*ke daftar Resource sebelum memanggil ModifyInvocationAttribute.{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] }Dengan menetapkan ID tugas dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM memodifikasi informasi eksekusi hanya tugas tertentu dan menambahkan instans apa pun ke tugas tersebut.
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM memodifikasi informasi eksekusi tugas terjadwal apa pun tetapi hanya menambahkan instans tertentu ke tugas terjadwal tersebut.
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] }Dengan menetapkan ID instans dan ID tugas dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM memodifikasi informasi eksekusi hanya tugas tertentu dan hanya menambahkan instans tertentu ke tugas tersebut.
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] }
Hentikan Eksekusi Tugas
Operasi API terkait: StopInvocation
Kebijakan ini memberikan pengguna RAM izin untuk menghentikan proses perintah Cloud Assistant yang sedang berjalan pada instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM menghentikan proses perintah Cloud Assistant yang sedang berjalan hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Menggunakan dalam perintah OOS parameter standar
Kebijakan ini memberikan pengguna RAM izin untuk menggunakan Cloud Assistant guna menjalankan perintah yang berisi parameter umum OOS.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:CreateCommand",
"ecs:DescribeCommands",
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:DescribeCloudAssistantStatus",
"oos:GetParameters",
"oos:GetParameter"
],
"Resource": "*"
}
],
"Version": "1"
}Izin untuk menggunakan parameter terenkripsi OOS dalam perintah
Kebijakan ini memberikan pengguna RAM izin untuk menggunakan Cloud Assistant guna menjalankan perintah yang berisi parameter terenkripsi OOS.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:CreateCommand",
"ecs:DescribeCommands",
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:DescribeCloudAssistantStatus",
"oos:GetParameters",
"oos:GetSecretParameters",
"oos:GetParameter",
"oos:GetSecretParameter",
"kms:GetSecretValue"
],
"Resource": "*"
}
],
"Version": "1"
}Contoh kebijakan kustom untuk mengirim file
Unggah file lokal
Operasi API terkait: SendFile
Kebijakan ini memberikan pengguna RAM izin untuk mengunggah file lokal ke instance ECS apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM mengunggah file lokal hanya ke instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }Tambahkan kondisi tag ke elemen Condition untuk mengontrol instance ECS tempat file dapat diunggah. Misalnya, kebijakan ini memungkinkan file diunggah hanya ke instance ECS yang memiliki tag
test:tony.{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": "acs:ecs:*:*:instance/*", "Condition": { "StringEquals": { "acs:ResourceTag/test": "tony" } } } ] }
Hasil Unggah Berkas Kueri
Operasi API terkait: DescribeSendFileResults
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri hasil unggah file untuk instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM mengkueri hasil unggah file hanya untuk instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Contoh kebijakan kustom untuk pengiriman catatan eksekusi tugas O&M
Izin untuk mengkueri dan memodifikasi konfigurasi pengiriman catatan eksekusi tugas O&M
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri dan memodifikasi konfigurasi fitur pengiriman catatan eksekusi tugas O&M.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}Mengkueri konfigurasi fitur pengiriman catatan eksekusi tugas O&M
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri konfigurasi fitur pengiriman catatan eksekusi tugas O&M.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}Izin spesifik wilayah untuk pengiriman catatan eksekusi tugas O&M
Anda dapat menentukan wilayah dalam elemen kebijakan untuk membatasi izin akses tingkat wilayah pengguna RAM.
Kebijakan ini memungkinkan pengguna RAM mengkueri dan memodifikasi konfigurasi fitur pengiriman catatan eksekusi tugas O&M hanya di wilayah China (Hangzhou).
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings", "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] }Kebijakan ini memungkinkan pengguna RAM mengkueri konfigurasi fitur pengiriman catatan eksekusi tugas O&M hanya di wilayah China (Hangzhou).
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] }
Izin untuk mengkueri dan memodifikasi konfigurasi pengiriman catatan sesi
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri dan memodifikasi konfigurasi fitur pengiriman catatan sesi.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}Izin untuk mengkueri konfigurasi pengiriman catatan sesi
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri konfigurasi fitur pengiriman catatan sesi.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}Izin spesifik wilayah untuk pengiriman catatan sesi
Anda dapat menentukan wilayah dalam elemen kebijakan untuk membatasi izin akses tingkat wilayah pengguna RAM.
Kebijakan ini memungkinkan pengguna RAM mengkueri dan memodifikasi konfigurasi fitur pengiriman catatan sesi hanya di wilayah China (Hangzhou).
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings", "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] }Kebijakan ini memungkinkan pengguna RAM mengkueri konfigurasi fitur pengiriman catatan sesi hanya di wilayah China (Hangzhou).
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] }
Mengkueri bucket OSS
Saat Anda menggunakan fitur pengiriman catatan eksekusi tugas O&M atau catatan sesi untuk mengirimkan catatan ke OSS, Anda harus memberikan izin berikut agar pengguna RAM dapat mengkueri bucket OSS.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets"
],
"Resource": "*"
}
]
}Setelah catatan eksekusi tugas O&M atau catatan sesi dikirimkan ke OSS, Anda juga perlu memahami aturan kontrol akses OSS untuk mengkueri dan menganalisis catatan tersebut. Untuk informasi selengkapnya, lihat Overview of RAM policies for OSS dan Common examples of RAM policies for OSS.
Kueri Proyek SLS dan Penyimpanan Log
Saat Anda menggunakan fitur pengiriman catatan eksekusi tugas O&M atau catatan sesi untuk mengirimkan catatan ke SLS, Anda harus memberikan izin berikut agar pengguna RAM dapat mengkueri proyek SLS dan penyimpanan log yang sesuai.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:ListProject",
"log:ListLogStores"
],
"Resource": "*"
}
]
}Setelah catatan eksekusi tugas O&M atau catatan Sesi dikirimkan ke SLS, Anda perlu memahami aturan Kontrol akses SLS untuk mengkueri dan menganalisis catatan tersebut. Untuk informasi selengkapnya, lihat Ikhtisar aturan otentikasi SLS.
Contoh kebijakan kustom untuk instans terkelola
Membatalkan pendaftaran Instans Terkelola
Operasi API terkait: DeregisterManagedInstance
Kebijakan ini memberikan pengguna RAM izin untuk membatalkan pendaftaran instans terkelola apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM hanya membatalkan pendaftaran instans terkelola tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Kueri Instance Terkelola
Operasi API terkait: DescribeManagedInstances
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri informasi tentang instans terkelola apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM hanya mengkueri informasi tentang instans terkelola tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Buat Kode Aktivasi Instans Terkelola
Operasi API terkait: CreateActivation
Pengguna RAM harus memiliki setidaknya izin berikut untuk membuat kode aktivasi untuk instans terkelola Alibaba Cloud. Kode-kode ini digunakan untuk mendaftarkan server yang tidak di-hosting di Alibaba Cloud sebagai instans terkelola.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateActivation"
],
"Resource": [
"acs:ecs:*:*:activation/*"
]
}
]
}Izin untuk menonaktifkan kode aktivasi instans terkelola
Operasi API terkait: DisableActivation
Kebijakan ini memberikan pengguna RAM izin untuk menonaktifkan kode aktivasi apa pun untuk instans terkelola Alibaba Cloud.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }Setelah ID instans ditetapkan dalam daftar Resource dan izin berikut diberikan, pengguna RAM hanya dapat menonaktifkan kode aktivasi untuk instans terkelola Alibaba Cloud tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
Mengkueri kode aktivasi instans terkelola
Operasi API terkait: DescribeActivations
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri kode aktivasi yang telah dibuat untuk instans terkelola dan penggunaannya.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeActivations" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource dan memberikan izin berikut, pengguna RAM hanya dapat mengkueri kode aktivasi dan status penggunaan instans terkelola tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeActivations" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
Hapus kode aktivasi instans terkelola
Operasi API terkait: DeleteActivation
Kebijakan ini memberikan pengguna RAM izin untuk menghapus kode aktivasi yang tidak digunakan untuk instans terkelola.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteActivation" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }Setelah Anda memberikan izin berikut, Anda hanya dapat menghapus kode aktivasi instans terkelola yang tidak digunakan secara spesifik dengan menetapkan ID instans dalam daftar Resource.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteActivation" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
Contoh kebijakan kustom untuk upgrade Cloud Assistant Agent
Operasi API terkait: ModifyCloudAssistantSettings dan DescribeCloudAssistantSettings.
Izin untuk mengkueri dan memodifikasi konfigurasi upgrade Cloud Assistant Agent
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri dan memodifikasi konfigurasi upgrade Cloud Assistant Agent.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}Mengkueri konfigurasi upgrade Cloud Assistant Agent
Kebijakan ini memberikan pengguna RAM izin untuk mengkueri konfigurasi upgrade Cloud Assistant Agent.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}Contoh kebijakan kustom untuk Session Manager
Operasi API terkait: StartTerminalSession dan DescribeTerminalSessions.
Izin untuk membuat dan mengkueri sesi Session Manager
Kebijakan ini memberikan pengguna RAM izin untuk membuat dan mengkueri sesi Session Manager.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Dengan menetapkan ID instans dalam daftar Resource, kebijakan ini memungkinkan pengguna RAM membuat sesi Session Manager dan mengkueri catatan Session Manager hanya untuk instans tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }