全部产品
Search

搜索本产品

    Elastic Compute Service:Aktifkan pengelolaan izin detail halus untuk sumber daya dengan menggunakan tag

    文档中心

    Elastic Compute Service:Aktifkan pengelolaan izin detail halus untuk sumber daya dengan menggunakan tag

    更新时间:Nov 09, 2025

    Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola sumber daya ECS. Tag mengidentifikasi sekelompok sumber daya, memungkinkan Anda mendefinisikan kebijakan Resource Access Management (RAM) atau melakukan operasi batch pada mereka. Sebagai contoh, Anda dapat menggunakan kebijakan RAM untuk hanya mengizinkan citra dengan tag tertentu membuat Instance ECS, memberikan kontrol berbasis kategori atas operasi sumber daya.

    Risiko keamanan

    Tag memberikan cara yang lebih fleksibel untuk mengklasifikasikan sumber daya dibandingkan kelompok sumber daya. Anda dapat menambahkan beberapa tag ke satu sumber daya untuk mengklasifikasikannya berdasarkan dimensi seperti Wilayah, departemen, atau lingkungan. Sementara sumber daya dapat dikelompokkan berdasarkan Produk, seperti sumber daya komputasi ECS, sumber daya penyimpanan OSS, atau sumber daya jaringan VPC, tag memungkinkan Anda melihatnya dari perspektif berbasis pengguna. Hal ini memungkinkan Anda membedakan sumber daya di berbagai dimensi dan menerapkan kontrol akses berdasarkan tag tersebut.

    Praktik terbaik

    Untuk mengelola kebijakan akses berdasarkan fungsi bisnis, Anda dapat menambahkan tag ke sumber daya yang memiliki properti bisnis yang sama. Kemudian, Anda dapat menggunakan tag-tag ini dalam kebijakan akses RAM untuk membatasi akses ke sumber daya tersebut.

    Sebagai contoh, pertimbangkan sekelompok Instance ECS yang digunakan untuk penerapan database. Instance ini tidak boleh disambungkan ke alamat IP publik. Untuk menegakkan aturan ini:

    1) Tambahkan tag ke kelompok Instance ECS ini, seperti function:database.

    2) Dalam contoh kebijakan RAM berikut, gunakan acs:ResourceTag/function:database untuk membatasi elemen Resource.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",   #Tolak
      "Action": [
        "ecs:ModifyInstanceNetworkSpec",    #Ubah spesifikasi jaringan instance
        ... ... #Konten dihilangkan
      ],
      "Resource": "acs:ecs:*:*:instance/*",   #Semua Instance ECS
      "Condition": {
        "StringEquals": {
          "acs:ResourceTag/function:database": ["*"]   #Memiliki tag function:database
        },
        "Bool": {
          "ecs:AssociatePublicIpAddress": ["true"]   #Sambungkan alamat IP publik
      }
    }
  ]
}

    Hasil: Alamat IP publik tidak dapat disambungkan ke Instance ECS yang memiliki tag function:database ketika Anda menggunakan operasi ModifyInstanceNetworkSpec untuk mengubah konfigurasi jaringan mereka.