Berikan izin detail halus Cloud Assistant kepada pengguna RAM melalui kebijakan kustom atau sistem untuk menghindari pengeksposan pasangan Kunci Akses Akun Alibaba Cloud Anda.
Latar Belakang
Cloud Assistant mendukung kebijakan kustom dan kebijakan sistem Alibaba Cloud. Kebijakan kustom mengontrol akses berdasarkan dimensi seperti wilayah, instance ECS, perintah, dan kode aktivasi instans terkelola.
Prosedur
-
Buat pengguna RAM dengan akun Alibaba Cloud.
Lihat Buat pengguna RAM.
-
Buat kebijakan kustom dengan akun Alibaba Cloud. Lihat Buat kebijakan kustom.
Tabel berikut mencantumkan contoh kebijakan kustom untuk fitur Cloud Assistant umum.
Fitur Cloud Assistant
Contoh kebijakan kustom
Cloud Assistant
Cloud Assistant Agent
Perintah Cloud Assistant
Kirim file
Pengiriman catatan eksekusi tugas O&M
-
Tanyakan dan Modifikasi Konfigurasi Fitur Pengiriman Catatan Eksekusi Tugas O&M
-
Tanyakan konfigurasi fitur pengiriman catatan eksekusi tugas O&M
-
Izin spesifik wilayah untuk pengiriman catatan eksekusi tugas O&M
-
Tanyakan dan modifikasi konfigurasi fitur pengiriman catatan operasi sesi
-
Mengonfigurasi pembatasan regional untuk fitur pengiriman catatan operasi sesi
Instans terkelola
Manajemen sesi
-
Berikan izin kepada pengguna RAM dengan akun Alibaba Cloud Anda.
Lihat Kelola izin untuk pengguna RAM.
-
Tentukan kebijakan kustom.
-
Tentukan kebijakan sistem yang disediakan oleh Alibaba Cloud.
-
AliyunECSAssistantFullAccess: Izin manajemen Cloud Assistant penuh.
-
AliyunECSAssistantReadonlyAccess: Izin Cloud Assistant hanya-baca.
Lihat detail kebijakan sistem, seperti konten kebijakan, di konsol RAM. Lihat Informasi kebijakan.
-
-
-
Verifikasi bahwa akses konsol telah diberikan kepada pengguna RAM.
Jika Console Access tidak diaktifkan, pengguna RAM hanya dapat menggunakan Cloud Assistant dengan memanggil operasi API. Lihat Lihat izin pengguna RAM.
-
Masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM.
-
Masuk ke halaman Cloud Assistant di konsol ECS sebagai pengguna RAM untuk menggunakan Cloud Assistant.
Contoh kebijakan kustom untuk fitur Cloud Assistant
Izin administratif (baca dan tulis) untuk Cloud Assistant
Memberikan izin kueri dan operasi penuh untuk semua API Cloud Assistant.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions",
"ecs:RunCommand"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*",
"acs:ecs:*:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}Izin hanya-baca untuk Cloud Assistant
Memberikan izin hanya untuk kueri pada semua API Cloud Assistant.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:DescribeCloudAssistant*",
"ecs:DescribeSendFileResults",
"ecs:DescribeManagedInstances",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}Konfigurasikan pembatasan wilayah untuk Cloud Assistant
Membatasi izin Cloud Assistant ke wilayah tertentu. Contoh ini membatasi akses ke Tiongkok (Hangzhou).
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions",
"ecs:RunCommand"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:instance/*",
"acs:ecs:cn-hangzhou:*:command/*",
"acs:ecs:cn-hangzhou:*:activation/*",
"acs:ecs:cn-hangzhou:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:servicesettings/*"
]
}
]
}Cloud Assistant Agent
Kueri Agen Asisten Cloud status instalasi
Operasi API: DescribeCloudAssistantStatus
-
Tanyakan status instalasi Cloud Assistant Agent pada semua instance ECS.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi kueri hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx000a", "acs:ecs:*:*:instance/i-instancexxx000b" ] } ] }
Instal Cloud Assistant Agent
Operasi API: InstallCloudAssistant
-
Instal Cloud Assistant Agent pada instance ECS apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi instalasi hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Contoh kebijakan kustom untuk perintah
Lihat perintah Cloud Assistant
Operasi API: DescribeCommands
-
Lihat semua perintah Cloud Assistant.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] } -
Tetapkan ID perintah di Resource untuk membatasi tampilan hanya pada perintah tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Hapus perintah Cloud Assistant
Operasi API: DeleteCommand
-
Hapus semua perintah Cloud Assistant.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] } -
Tetapkan ID perintah di Resource untuk membatasi penghapusan hanya pada perintah tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Buat perintah Cloud Assistant
Operasi API: CreateCommand
Izin minimum yang diperlukan untuk membuat perintah Cloud Assistant.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateCommand"
],
"Resource": [
"acs:ecs:*:*:command/*"
]
}
]
}Modifikasi perintah Cloud Assistant
Operasi API: ModifyCommand
-
Modifikasi perintah Cloud Assistant apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] } -
Tetapkan ID perintah di Resource untuk membatasi modifikasi hanya pada perintah tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Eksekusi perintah
Operasi API: InvokeCommand
-
Jalankan perintah pada instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*", "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi eksekusi perintah hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*", "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] } -
Tetapkan ID perintah di Resource untuk membatasi eksekusi hanya pada perintah tertentu di instans ECS apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b", "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID perintah dan ID instans di Resource untuk membatasi eksekusi hanya pada perintah tertentu di instans ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] } -
Batasi plugin yang dapat dieksekusi. Contoh ini hanya mengizinkan perintah publik ACS-ECS-ExecutePlugin-for-linux.sh, yang sesuai dengan plugin test-plugin.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:command/ACS-ECS-ExecutePlugin-for-linux.sh", "acs:ecs:*:*:instance/*" ], "Condition": { "StringEqualsIgnoreCase": { "ecs:PluginName": [ "test-plugin" ] } } } ] } -
Tambahkan kondisi tag ke Condition untuk membatasi instans ECS mana yang dapat menjalankan perintah. Contoh ini hanya mengizinkan instans dengan tag
test:tony.CatatanKondisi acs:ResourceTag memerlukan tag pada resource. Tag dapat dilampirkan pada instance ECS tetapi tidak pada perintah.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:instance/*" ], "Condition": { "StringEquals": { "acs:ResourceTag/Owner": "zxy" } } }, { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:command/*" ] } ] }
Eksekusi perintah segera
Operasi API: RunCommand
Jika Anda menetapkan KeepCommand ke true saat memanggil RunCommand, tambahkan "acs::ecs:*:*:command/*" ke Resource.
-
Jalankan perintah segera pada instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi eksekusi perintah segera hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] } -
Tambahkan kondisi tag ke Condition untuk membatasi instans ECS mana yang dapat menjalankan perintah segera. Contoh ini hanya mengizinkan instans dengan tag
test:tony.{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunCommand" ], "Resource": "acs:ecs:*:*:instance/*", "Condition": { "StringEquals": { "acs:ResourceTag/test": "tony" } } } ] }
Tanyakan hasil eksekusi perintah
Operasi API: DescribeInvocations
-
Tanyakan hasil eksekusi perintah pada instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi kueri hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/*" ] } ] } -
Tetapkan ID perintah di Resource untuk membatasi kueri hanya pada perintah tertentu di instans ECS apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] } -
Tetapkan ID perintah dan ID instans di Resource untuk membatasi kueri hanya pada perintah tertentu di instans ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }
Modifikasi informasi eksekusi tugas terjadwal
Operasi API: ModifyInvocationAttribute
-
Modifikasi informasi eksekusi tugas terjadwal apa pun dan tambahkan instans apa pun ke dalamnya.
Saat memanggil InvokeCommand atau RunCommand, jika Anda memodifikasi
CommandContentdan menetapkanKeepCommandketrue, perintah baru dibuat untuk retensi jangka panjang (LTR). Tambahkanacs:ecs:*:*:command/*ke Resource sebelum memanggil ModifyInvocationAttribute.{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] } -
Tetapkan ID tugas di Resource untuk membatasi modifikasi hanya pada tugas tertentu, sambil mengizinkan penambahan instans apa pun.
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] } -
Tetapkan ID instans di Resource untuk mengizinkan modifikasi tugas terjadwal apa pun tetapi hanya menambahkan instans tertentu.
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] } -
Tetapkan ID instans dan ID tugas di Resource untuk membatasi modifikasi dan penambahan instans hanya pada tugas dan instans tertentu.
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] }
Hentikan eksekusi tugas
Operasi API: StopInvocation
-
Hentikan proses perintah Cloud Assistant yang sedang berjalan pada instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi operasi ini hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Gunakan parameter standar OOS dalam perintah
Jalankan perintah yang berisi parameter umum OOS.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:CreateCommand",
"ecs:DescribeCommands",
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:DescribeCloudAssistantStatus",
"oos:GetParameters",
"oos:GetParameter"
],
"Resource": "*"
}
],
"Version": "1"
}Gunakan parameter terenkripsi OOS dalam perintah
Jalankan perintah yang berisi parameter terenkripsi OOS.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:CreateCommand",
"ecs:DescribeCommands",
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:DescribeCloudAssistantStatus",
"oos:GetParameters",
"oos:GetSecretParameters",
"oos:GetParameter",
"oos:GetSecretParameter",
"kms:GetSecretValue"
],
"Resource": "*"
}
],
"Version": "1"
}Contoh kebijakan kustom untuk mengirim file
Unggah file lokal
Operasi API: SendFile
-
Unggah file lokal ke instans ECS apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi unggah hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] } -
Tambahkan kondisi tag ke Condition untuk membatasi instans ECS mana yang dapat menerima file. Contoh ini hanya mengizinkan unggah ke instans dengan tag
test:tony.{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": "acs:ecs:*:*:instance/*", "Condition": { "StringEquals": { "acs:ResourceTag/test": "tony" } } } ] }
Tanyakan hasil unggah file
Operasi API: DescribeSendFileResults
-
Tanyakan hasil unggah file untuk instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi kueri hanya pada instance ECS tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Contoh kebijakan kustom untuk pengiriman catatan eksekusi tugas O&M
Izin untuk menanyakan dan memodifikasi konfigurasi pengiriman catatan eksekusi tugas O&M
Tanyakan dan modifikasi konfigurasi pengiriman catatan eksekusi tugas O&M.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}Tanyakan konfigurasi fitur pengiriman catatan eksekusi tugas O&M
Tanyakan konfigurasi pengiriman catatan eksekusi tugas O&M.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}Izin spesifik wilayah untuk pengiriman catatan eksekusi tugas O&M
Tentukan wilayah untuk membatasi akses konfigurasi pengiriman.
-
Tanyakan dan modifikasi pengiriman catatan eksekusi tugas O&M hanya di Tiongkok (Hangzhou).
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings", "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] } -
Kueri pengiriman catatan eksekusi tugas O&M hanya tersedia di China (Hangzhou).
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] }
Izin untuk menanyakan dan memodifikasi konfigurasi pengiriman catatan sesi
Tanyakan dan modifikasi konfigurasi pengiriman catatan sesi.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}Izin untuk menanyakan konfigurasi pengiriman catatan sesi
Tanyakan konfigurasi pengiriman catatan sesi.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}Izin spesifik wilayah untuk pengiriman catatan sesi
Tentukan wilayah untuk membatasi akses pengiriman catatan sesi.
-
Tanyakan dan modifikasi pengiriman catatan sesi hanya di Tiongkok (Hangzhou).
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings", "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] } -
Tanyakan pengiriman catatan sesi hanya di Tiongkok (Hangzhou).
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] }
Tanyakan bucket OSS
Untuk mengirim catatan eksekusi tugas O&M atau catatan sesi ke OSS, berikan izin berikut.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets"
],
"Resource": "*"
}
]
}Setelah catatan dikirim ke OSS, pahami aturan kontrol akses OSS untuk menanyakan dan menganalisis catatan tersebut. Lihat Ikhtisar kebijakan RAM untuk OSS dan Contoh umum kebijakan RAM untuk OSS.
Kueri Proyek dan Penyimpanan Log SLS
Untuk mengirim catatan eksekusi tugas O&M atau catatan sesi ke SLS, berikan izin berikut.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:ListProject",
"log:ListLogStores"
],
"Resource": "*"
}
]
}Setelah catatan dikirimkan ke SLS, pahami aturan kontrol akses SLS untuk melakukan kueri dan menganalisis catatan tersebut. Lihat Ikhtisar aturan otentikasi SLS.
Contoh kebijakan kustom untuk instans terkelola
Batalkan pendaftaran instans terkelola
Operasi API: DeregisterManagedInstance
-
Batalkan pendaftaran instans terkelola apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi pembatalan pendaftaran hanya pada instans terkelola tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Tanyakan instans terkelola
Operasi API: DescribeManagedInstances
-
Tanyakan instans terkelola apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi kueri hanya pada instans terkelola tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Buat kode aktivasi instans terkelola
Operasi API: CreateActivation
Izin minimum untuk membuat kode aktivasi guna mendaftarkan server non-Alibaba Cloud sebagai instans terkelola.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateActivation"
],
"Resource": [
"acs:ecs:*:*:activation/*"
]
}
]
}Izin untuk menonaktifkan kode aktivasi instans terkelola
Operasi API: DisableActivation
-
Nonaktifkan kode aktivasi instans terkelola apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] } -
Tetapkan ID kode aktivasi di Resource untuk membatasi operasi ini hanya pada kode aktivasi tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
Tanyakan kode aktivasi instans terkelola
Operasi API: DescribeActivations
-
Tanyakan kode aktivasi dan penggunaannya untuk instans terkelola.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeActivations" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] } -
Tetapkan ID kode aktivasi di Resource untuk membatasi kueri hanya pada kode aktivasi tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeActivations" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
Hapus kode aktivasi instans terkelola
Operasi API: DeleteActivation
-
Hapus kode aktivasi yang tidak digunakan untuk instans terkelola apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteActivation" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] } -
Tetapkan ID kode aktivasi di Resource untuk membatasi penghapusan hanya pada kode aktivasi yang tidak digunakan tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteActivation" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
Contoh kebijakan kustom untuk peningkatan Cloud Assistant Agent
Operasi API: ModifyCloudAssistantSettings dan DescribeCloudAssistantSettings.
Izin untuk menanyakan dan memodifikasi konfigurasi peningkatan Cloud Assistant Agent
Tanyakan dan modifikasi konfigurasi peningkatan Cloud Assistant Agent.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}Tanyakan konfigurasi peningkatan Cloud Assistant Agent
Tanyakan konfigurasi peningkatan Cloud Assistant Agent.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}Contoh kebijakan kustom untuk Session Manager
Operasi API: StartTerminalSession dan DescribeTerminalSessions.
Izin untuk membuat dan menanyakan sesi Session Manager
-
Buat dan tanyakan sesi Session Manager pada instans apa pun.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] } -
Tetapkan ID instans di Resource untuk membatasi operasi Session Manager hanya pada instans tertentu.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }