Pengguna Resource Access Management (RAM) adalah akun virtual yang dapat diberi kebijakan RAM untuk memberikan tingkat izin berbeda. Hal ini memastikan akses lebih aman dan terkendali serta mengurangi risiko penyalahgunaan pasangan AccessKey dari akun Alibaba Cloud Anda. Topik ini menjelaskan cara memberikan izin kepada pengguna RAM dan menyediakan contoh kebijakan pada Cloud Assistant.
Informasi latar belakang
Kebijakan RAM dapat berupa kebijakan kustom buatan pengguna atau kebijakan sistem yang disediakan oleh Alibaba Cloud. Anda dapat menggunakan akun Alibaba Cloud untuk membuat kebijakan kustom yang mendefinisikan izin spesifik wilayah dan izin pada instance Elastic Compute Service (ECS), perintah Cloud Assistant, atau kode aktivasi instans yang dikelola, serta melampirkan kebijakan tersebut ke pengguna RAM.
Prosedur
Gunakan akun Alibaba Cloud untuk membuat pengguna RAM.
Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Gunakan akun Alibaba Cloud untuk membuat kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Tabel berikut menjelaskan contoh kebijakan kustom terkait Cloud Assistant.
Jenis Kebijakan
Contoh Kebijakan Kustom
Kebijakan yang mencakup izin pada Cloud Assistant
Kebijakan yang mencakup izin pada Cloud Assistant Agent
Kebijakan yang mencakup izin pada Perintah Cloud Assistant
Kebijakan yang mencakup izin pada Transfer File
Kebijakan yang mencakup izin pada Pengiriman Konten Operasi dan Hasil
Izin untuk Menanyakan dan Mengubah Pengaturan Pengiriman Konten Operasi dan Hasil
Izin untuk Menanyakan Pengaturan Pengiriman Konten Operasi dan Hasil
Izin Spesifik Wilayah pada Pengiriman Konten Operasi dan Hasil
Izin untuk Menanyakan dan Mengubah Pengaturan Pengiriman Rekaman Sesi
Izin untuk Menanyakan Proyek dan Logstore Layanan Log Sederhana
Kebijakan yang mencakup izin pada Instans yang Dikelola
Kebijakan yang mencakup izin pada Session Manager
Izin untuk Membuat dan Menanyakan Rekaman Sesi Session Manager
Gunakan akun Alibaba Cloud Anda untuk melampirkan kebijakan ke pengguna RAM yang telah dibuat.
Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Lampirkan kebijakan kustom yang telah dibuat.
Lampirkan kebijakan sistem berikut yang disediakan oleh Alibaba Cloud:
AliyunECSAssistantFullAccess: Memberikan izin kepada pengguna RAM untuk mengelola Cloud Assistant.
AliyunECSAssistantReadonlyAccess: Memberikan izin baca-saja kepada pengguna RAM pada Cloud Assistant.
Anda dapat masuk ke konsol RAM untuk melihat kebijakan sistem dan detail kebijakan tersebut. Untuk informasi lebih lanjut, lihat Lihat Informasi tentang Kebijakan.
Periksa apakah pengguna RAM memiliki izin untuk masuk ke Konsol Manajemen Alibaba Cloud.
Jika pengguna RAM tidak memiliki izin Console Access, pengguna RAM hanya dapat menggunakan Cloud Assistant dengan memanggil operasi API. Untuk informasi lebih lanjut, lihat Lihat Izin Pengguna RAM.
Masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM.
Untuk informasi lebih lanjut, lihat Masuk ke Konsol Manajemen Alibaba Cloud sebagai Pengguna RAM.
Masuk ke konsol ECS sebagai pengguna RAM, buka halaman ECS Cloud Assistant, dan kemudian gunakan Cloud Assistant.
Contoh kebijakan kustom spesifik Cloud Assistant
Izin administrator (baca dan tulis) pada Cloud Assistant
Setelah Anda melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki semua izin kueri dan manajemen pada operasi API Cloud Assistant:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*",
"acs:ecs:*:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}Izin baca-saja pada Cloud Assistant
Setelah Anda melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menanyakan semua operasi API Cloud Assistant:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:DescribeCloudAssistant*",
"ecs:DescribeSendFileResults",
"ecs:DescribeManagedInstances",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}Izin spesifik wilayah pada Cloud Assistant
Anda dapat menentukan bidang wilayah di elemen Resource untuk membatasi izin pengguna RAM pada wilayah tertentu. Setelah Anda melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menggunakan Cloud Assistant hanya di wilayah China (Hangzhou):
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:instance/*",
"acs:ecs:cn-hangzhou:*:command/*",
"acs:ecs:cn-hangzhou:*:activation/*",
"acs:ecs:cn-hangzhou:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:servicesettings/*"
]
}
]
}Contoh kebijakan kustom spesifik Cloud Assistant Agent
Izin untuk menanyakan status instalasi Cloud Assistant Agent
Operasi API: DescribeCloudAssistantStatus
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menanyakan status instalasi Cloud Assistant Agent pada semua instance ECS:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menanyakan status instalasi Cloud Assistant Agent hanya pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx000a", "acs:ecs:*:*:instance/i-instancexxx000b" ] } ] }
Izin untuk menginstal Cloud Assistant Agent
Operasi API: InstallCloudAssistant
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menginstal Cloud Assistant Agent pada semua instance ECS.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menginstal Cloud Assistant Agent hanya pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Perintah Cloud Assistant-contoh kebijakan kustom spesifik
Izin untuk menanyakan perintah Cloud Assistant
Operasi API: DescribeCommands
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menanyakan semua perintah Cloud Assistant:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }Anda dapat menentukan ID perintah di elemen Resource untuk membatasi izin pada perintah tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menanyakan hanya perintah yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Izin untuk menghapus perintah Cloud Assistant
Operasi API: DeleteCommand
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menghapus semua perintah Cloud Assistant:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }Anda dapat menentukan ID perintah di elemen Resource untuk membatasi izin pada perintah tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menghapus hanya perintah yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Izin untuk membuat perintah Cloud Assistant
Operasi API: CreateCommand
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk membuat perintah Cloud Assistant:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateCommand"
],
"Resource": [
"acs:ecs:*:*:command/*"
]
}
]
}Izin untuk mengubah perintah Cloud Assistant
Operasi API: ModifyCommand
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk mengubah semua perintah Cloud Assistant:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }Anda dapat menentukan ID perintah di elemen Resource untuk membatasi izin pada perintah tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk mengubah hanya perintah yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Izin untuk menjalankan perintah Cloud Assistant
Operasi API: InvokeCommand
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menjalankan perintah Cloud Assistant pada semua instans:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*", "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menjalankan perintah Cloud Assistant hanya pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*", "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }Anda dapat menentukan ID perintah di elemen Resource untuk membatasi izin pada perintah tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menjalankan hanya perintah yang ditentukan pada instans:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b", "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan baik ID perintah maupun ID instans di elemen Resource untuk membatasi izin pada instans dan perintah tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menjalankan hanya perintah yang ditentukan pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }Anda dapat menentukan nama perintah dan nama plugin yang sesuai untuk membatasi izin pada perintah tersebut. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menjalankan hanya perintah umum bernama ACS-ECS-ExecutePlugin-for-linux.sh, yang sesuai dengan plugin bernama test-plugin:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:command/ACS-ECS-ExecutePlugin-for-linux.sh", "acs:ecs:*:*:instance/*" ], "Condition": { "StringEqualsIgnoreCase": { "ecs:PluginName": [ "test-plugin" ] } } } ] }Anda dapat menentukan tag di elemen Condition untuk mengontrol jangkauan instans ECS tempat perintah dapat dijalankan. Misalnya, perintah hanya dapat dijalankan pada instans ECS yang memiliki tag
test:tony.CatatanJika Anda menentukan tag untuk parameter acs:ResourceTag, Anda hanya dapat menggunakan sumber daya yang memiliki tag yang ditentukan. Misalnya, tentukan tag untuk menyaring instans ECS tempat Anda dapat menjalankan perintah Cloud Assistant. Perintah tidak memiliki tag.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:instance/*" ], "Condition": { "StringEquals": { "acs:ResourceTag/Owner": "zxy" } } }, { "Effect": "Allow", "Action": "ecs:InvokeCommand", "Resource": [ "acs:ecs:*:*:command/*" ] } ] }
Izin untuk segera menjalankan perintah Cloud Assistant
Operasi API: RunCommand
Jika Anda menyetel parameter KeepCommand ke true saat memanggil operasi RunCommand, Anda harus menambahkan baris "acs::ecs:*:*:command/*" ke elemen Resource.
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk secara bersamaan membuat dan menjalankan perintah Cloud Assistant pada semua instans:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk secara bersamaan membuat dan menjalankan perintah Cloud Assistant hanya pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }Anda dapat menentukan tag di elemen Condition untuk membatasi jangkauan instans ECS tempat perintah dapat segera dijalankan. Misalnya, perintah hanya dapat segera dijalankan pada instans ECS yang memiliki tag
test:tony.{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunCommand" ], "Resource": "acs:ecs:*:*:instance/*", "Condition": { "StringEquals": { "acs:ResourceTag/test": "tony" } } } ] }
Izin untuk menanyakan hasil eksekusi perintah
Operasi API: DescribeInvocations
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menanyakan hasil eksekusi perintah pada semua instans:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menanyakan hasil eksekusi perintah hanya pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/*" ] } ] }Anda dapat menentukan ID perintah di elemen Resource untuk membatasi izin pada perintah tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menanyakan hasil eksekusi hanya perintah yang ditentukan pada instans:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }Anda dapat menentukan baik ID perintah maupun ID instans di elemen Resource untuk membatasi izin pada instans dan perintah tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menanyakan hasil eksekusi hanya perintah yang ditentukan pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }
Izin untuk mengubah informasi eksekusi tugas terjadwal
Operasi API: ModifyInvocationAttribute
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk mengubah informasi eksekusi semua tugas terjadwal dan menambahkan semua instans ke tugas terjadwal.
Jika Anda mengubah nilai parameter
CommandContentdan menyetel parameterKeepCommandketruesaat memanggil operasi InvokeCommand atau RunCommand, sebuah perintah akan ditambahkan dan disimpan. Dalam hal ini, Anda harus menambahkan barisacs:ecs:*:*:command/*ke elemen Resource sebelum memanggil operasi ModifyInvocationAttribute.{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] }Anda dapat menentukan ID tugas di elemen Resource untuk membatasi izin pada tugas tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk mengubah informasi eksekusi hanya tugas yang ditentukan dan menambahkan instans ke tugas yang ditentukan:
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk mengubah informasi eksekusi semua tugas terjadwal dan hanya menambahkan instans yang ditentukan ke tugas terjadwal:
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] }Anda dapat menentukan ID instans dan ID tugas di elemen Resource untuk membatasi izin pada instans dan tugas tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk mengubah informasi eksekusi hanya tugas yang ditentukan dan hanya menambahkan instans yang ditentukan ke tugas terjadwal:
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] }
Izin untuk menghentikan perintah Cloud Assistant yang sedang berjalan
Operasi API: StopInvocation
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menghentikan perintah Cloud Assistant yang sedang berjalan pada semua instans:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menghentikan perintah Cloud Assistant yang sedang berjalan hanya pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Izin untuk mengonfigurasi parameter OSS umum dalam perintah
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menjalankan perintah Cloud Assistant yang berisi parameter Object Storage Service (OSS) umum:
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:CreateCommand",
"ecs:DescribeCommands",
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:DescribeCloudAssistantStatus",
"oos:GetParameters",
"oos:GetParameter"
],
"Resource": "*"
}
],
"Version": "1"
}Izin untuk mengonfigurasi parameter OSS terenkripsi dalam perintah
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menjalankan perintah Cloud Assistant yang berisi parameter OSS terenkripsi:
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:CreateCommand",
"ecs:DescribeCommands",
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:DescribeCloudAssistantStatus",
"oos:GetParameters",
"oos:GetSecretParameters",
"oos:GetParameter",
"oos:GetSecretParameter",
"kms:GetSecretValue"
],
"Resource": "*"
}
],
"Version": "1"
}Pengunggahan file-contoh kebijakan kustom spesifik
Izin untuk mengunggah file lokal
Operasi API: SendFile
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk mengunggah file lokal ke semua instans:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk mengunggah file lokal hanya ke instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }Anda dapat menentukan tag di elemen Condition untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk mengunggah file lokal hanya ke instans ECS yang memiliki tag yang ditentukan. Misalnya, Anda hanya dapat mengunggah file ke instans ECS dengan tag
test:tony.{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": "acs:ecs:*:*:instance/*", "Condition": { "StringEquals": { "acs:ResourceTag/test": "tony" } } } ] }
Izin untuk menanyakan hasil operasi unggah file
Operasi API: DescribeSendFileResults
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menanyakan hasil operasi unggah file ke semua instans:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ]Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menanyakan hasil operasi unggah file hanya pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Pengiriman Konten Operasi dan Hasil-contoh kebijakan kustom spesifik
Izin untuk menanyakan dan mengubah pengaturan Pengiriman Konten Operasi dan Hasil
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM akan memiliki izin untuk menanyakan dan mengubah pengaturan Pengiriman Konten Operasi dan Hasil:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}Izin untuk menanyakan pengaturan Pengiriman Konten Operasi dan Hasil
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM akan memiliki izin untuk menanyakan pengaturan Pengiriman Konten Operasi dan Hasil:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}Izin spesifik wilayah pada Pengiriman Konten Operasi dan Hasil
Anda dapat menentukan ID wilayah di elemen Resource untuk membatasi izin regional pengguna RAM.
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM akan memiliki izin untuk menanyakan dan mengubah pengaturan Pengiriman Konten Operasi dan Hasil hanya di wilayah China (Hangzhou):
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings", "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] }Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM akan memiliki izin untuk menanyakan pengaturan Pengiriman Konten Operasi dan Hasil hanya di wilayah China (Hangzhou):
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] }
Izin untuk menanyakan dan mengubah pengaturan Pengiriman Rekaman Sesi
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM akan memiliki izin untuk menanyakan dan mengubah pengaturan Pengiriman Rekaman Sesi:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}Izin untuk menanyakan pengaturan Pengiriman Rekaman Sesi
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM akan memiliki izin untuk menanyakan pengaturan Pengiriman Rekaman Sesi:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}Izin spesifik wilayah pada Pengiriman Rekaman Sesi
Anda dapat menentukan ID wilayah di elemen Resource untuk membatasi izin regional pengguna RAM.
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM akan memiliki izin untuk menanyakan dan mengubah pengaturan Pengiriman Rekaman Sesi hanya di wilayah China (Hangzhou):
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings", "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] }Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM akan memiliki izin untuk menanyakan pengaturan Pengiriman Rekaman Sesi hanya di wilayah China (Hangzhou):
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] }
Izin untuk menanyakan Bucket OSS
Saat mengirimkan rekaman eksekusi tugas O&M atau rekaman sesi ke OSS sebagai pengguna RAM, Anda harus memberikan izin kepada pengguna RAM untuk menanyakan Bucket OSS.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets"
],
"Resource": "*"
}
]
}Setelah mengirimkan rekaman eksekusi tugas O&M atau rekaman sesi ke OSS, Anda harus mempelajari kebijakan RAM pada OSS untuk tujuan kueri dan analisis. Untuk informasi lebih lanjut, lihat Kebijakan RAM dan Contoh Umum Kebijakan RAM.
Izin untuk menanyakan proyek dan Logstore Layanan Log Sederhana
Saat mengirimkan rekaman eksekusi tugas O&M atau rekaman sesi ke Layanan Log Sederhana sebagai pengguna RAM, Anda harus memberikan izin kepada pengguna RAM untuk menanyakan proyek dan Logstore Layanan Log Sederhana.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:ListProject",
"log:ListLogStores"
],
"Resource": "*"
}
]
}Setelah mengirimkan rekaman eksekusi tugas O&M atau rekaman sesi ke Layanan Log Sederhana, Anda harus mempelajari kebijakan RAM pada Layanan Log Sederhana untuk tujuan kueri dan analisis. Untuk informasi lebih lanjut, lihat Ikhtisar Aturan Autentikasi RAM.
Instans yang dikelola-contoh kebijakan kustom spesifik
Izin untuk mencabut pendaftaran instance yang dikelola
Operasi API: DeregisterManagedInstance
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk mendaftarkan ulang semua instans yang dikelola:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk mendaftarkan ulang hanya instans yang dikelola yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Izin untuk menanyakan instans yang dikelola
Operasi API: DescribeManagedInstances
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menanyakan semua instans yang dikelola:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menanyakan hanya instans yang dikelola yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Izin untuk membuat kode aktivasi
Operasi API: CreateActivation
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk membuat kode aktivasi dan menggunakan kode aktivasi tersebut untuk mendaftarkan server yang tidak disediakan oleh Alibaba Cloud sebagai instans yang dikelola oleh Alibaba Cloud:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateActivation"
],
"Resource": [
"acs:ecs:*:*:activation/*"
]
}
]
}Izin untuk menonaktifkan kode aktivasi
Operasi API: DisableActivation
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menonaktifkan semua kode aktivasi yang digunakan untuk mendaftarkan instans yang dikelola oleh Alibaba Cloud:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menonaktifkan kode aktivasi hanya pada instans yang dikelola yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
Izin untuk menanyakan kode aktivasi
Operasi API: DescribeActivations
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menanyakan kode aktivasi yang telah dibuat dan penggunaan kode aktivasi tersebut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeActivations" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menanyakan kode aktivasi hanya pada instans yang dikelola yang ditentukan dan penggunaan kode aktivasi tersebut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeActivations" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
Izin untuk menghapus kode aktivasi
Operasi API: DeleteActivation
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM memiliki izin untuk menghapus semua kode aktivasi yang tidak digunakan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteActivation" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada kode aktivasi tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk menghapus hanya kode aktivasi yang ditentukan yang tidak digunakan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteActivation" ], "Resource": [ "acs:ecs:*:*:activation/*****-*****A", "acs:ecs:*:*:activation/*****-*****B" ] } ] }
Contoh kebijakan kustom spesifik untuk pembaruan Cloud Assistant Agent
Operasi API: ModifyCloudAssistantSettings dan DescribeCloudAssistantSettings
Izin untuk menanyakan dan mengubah pengaturan pembaruan Cloud Assistant Agent
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna tersebut akan memiliki izin untuk menanyakan dan mengubah pengaturan pembaruan Cloud Assistant Agent:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}Izin untuk menanyakan pengaturan pembaruan Cloud Assistant Agent
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna tersebut akan memiliki izin untuk menanyakan pengaturan pembaruan Cloud Assistant Agent:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}Contoh kebijakan kustom spesifik Session Manager
Operasi API: StartTerminalSession dan DescribeTerminalSessions
Izin untuk membuat dan menanyakan rekaman sesi Session Manager
Setelah melampirkan kebijakan sampel berikut ke pengguna RAM, pengguna RAM akan memiliki izin untuk membuat dan menanyakan rekaman sesi Session Manager:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }Anda dapat menentukan ID instans di elemen Resource untuk membatasi izin pada instans tertentu. Kebijakan sampel berikut memungkinkan pengguna RAM untuk membuat dan menanyakan rekaman sesi Session Manager hanya pada instans yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }