Jika Anda ingin mengizinkan pengguna RAM untuk hanya melihat dan mengelola kluster tertentu di Konsol Alibaba Cloud Elasticsearch, Anda dapat menggunakan grup sumber daya untuk memberikan izin pada kluster kepada pengguna RAM. Topik ini menjelaskan cara menggunakan grup sumber daya untuk memberikan izin pada kluster tertentu kepada pengguna RAM.
Prosedur
Jika Anda memilih grup sumber daya default saat membuat kluster Alibaba Cloud Elasticsearch, kluster tersebut akan dibuat di dalam grup sumber daya default. Dalam hal ini, ketika Anda memberikan izin pada kluster kepada pengguna RAM, Anda dapat memilih grup sumber daya tertentu, tetapi grup sumber daya tersebut tidak berlaku untuk otorisasi.
Untuk menyelesaikan masalah ini, Anda harus melampirkan kebijakan kustom yang ruang lingkup efektifnya adalah akun Alibaba Cloud tempat pengguna RAM berada kepada pengguna RAM. Kemudian, Anda harus membuat grup sumber daya, mentransfer kluster Elasticsearch ke grup sumber daya tersebut, dan melampirkan kebijakan sistem yang ruang lingkup efektifnya adalah grup sumber daya kepada pengguna RAM.
Langkah 1: Lampirkan kebijakan kustom yang ruang lingkup efektifnya adalah seluruh akun Alibaba Cloud kepada pengguna RAM dari akun tersebut
Masuk ke Konsol RAM sebagai pengguna RAM yang memiliki hak administratif.
Buat kebijakan kustom.
Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom. Kode berikut menyediakan contoh untuk Isi kebijakan:
{ "Statement": [ { "Action": [ "elasticsearch:*" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/<yourInstanceId>" }, { "Action": [ "elasticsearch:ListCollectors" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:<yourAccountId>:collectors/*" }, { "Action": [ "elasticsearch:ListInstance", "elasticsearch:ListSnapshotReposByInstanceId" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/*" }, { "Effect": "Allow", "Action": [ "cms:ListAlarm", "cms:DescribeActiveMetricRuleList", "cms:QueryMetricList" ], "Resource": "*" }, { "Action": [ "elasticsearch:ListTags" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:*:tags/*" }, { "Action": [ "elasticsearch:GetEmonProjectList" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:*:emonProjects/*" }, { "Action": [ "elasticsearch:getEmonUserConfig" ], "Effect": "Allow", "Resource": "acs:elasticsearch:*:*:emonUserConfig/*" }, { "Action": "ims:*", "Effect": "Allow", "Resource": "acs:ims::<yourAccountId>:application/*" } ], "Version": "1" }Sebelum Anda menggunakan kode di atas, Anda harus mengganti variabel dalam kode dengan nilai yang diinginkan.
Variabel
Deskripsi
<yourAccountId>
Ganti variabel ini dengan ID akun Alibaba Cloud Anda. Karakter wildcard (
*) tidak didukung. Untuk mendapatkan ID akun Alibaba Cloud Anda, lakukan operasi berikut: Masuk ke Konsol Manajemen Alibaba Cloud dan arahkan kursor ke foto profil di sudut kanan atas. Lalu, Anda dapat melihat ID akun Alibaba Cloud Anda.<yourInstanceId>
Ganti variabel ini dengan ID kluster Elasticsearch yang izinnya ingin Anda berikan. Karakter wildcard (
*) tidak didukung. Untuk informasi lebih lanjut tentang cara mendapatkan ID, lihat Lihat informasi dasar kluster.Antarmuka eksternal yang digunakan untuk memanggil layanan tertentu, seperti Beats, Pemantauan Lanjutan dan Peringatan, serta Tag, terintegrasi ke dalam halaman manajemen kluster Konsol Elasticsearch. Jika Anda ingin mengelola hanya kluster dalam grup sumber daya tertentu di Konsol Elasticsearch sebagai pengguna RAM, Anda harus mengonfigurasi kebijakan kustom yang ruang lingkup efektifnya adalah akun Alibaba Cloud tempat pengguna RAM berada dan melampirkannya ke pengguna RAM. Dengan cara ini, pengguna RAM dapat melewati verifikasi izin pada halaman manajemen kluster.
CatatanSetelah kebijakan untuk kluster Elasticsearch atau Logstash tertentu dibuat dan dilampirkan ke pengguna RAM, Anda dapat menggunakan salah satu URL berikut untuk langsung mengakses kluster Elasticsearch atau Logstash sebagai pengguna RAM:
https://elasticsearch.console.alibabacloud.com/{regionId}/instances/{instanceId}/base
https://elasticsearch.console.alibabacloud.com/{regionId}/logstashes/{instanceId}/base
Buat pengguna RAM.
Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Lampirkan kebijakan kustom yang baru dibuat yang ruang lingkup efektifnya adalah akun Alibaba Cloud tempat pengguna RAM berada kepada pengguna RAM.
Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM. Saat Anda melampirkan kebijakan kustom ke pengguna RAM, atur parameter Resource Scope menjadi Account dan pilih kebijakan kustom di bagian Policy.
Langkah 2: (Opsional) Buat grup sumber daya dan lampirkan kebijakan yang ruang lingkup efektifnya adalah grup sumber daya kepada pengguna RAM
Jika kluster Anda berada di dalam grup sumber daya kustom, lewati langkah ini.
Masuk ke Konsol Resource Management.
Buat grup sumber daya.
Untuk informasi lebih lanjut, lihat Buat Grup Sumber Daya.
Transfer kluster yang diinginkan dari grup sumber daya default ke grup sumber daya yang baru dibuat.
Untuk informasi lebih lanjut, lihat Lakukan Transfer Sumber Daya Manual Lintas Grup Sumber Daya.
Lampirkan kebijakan yang ruang lingkup efektifnya adalah grup sumber daya yang baru dibuat kepada pengguna RAM.
Untuk informasi lebih lanjut, lihat Berikan Izin Grup Sumber Daya kepada Identitas RAM. Di panel Grant Permission, Anda harus mengatur Principal menjadi pengguna RAM dan memilih kebijakan sistem AliyunElasticsearchFullAccess di bagian Policy.
CatatanSetelah otorisasi selesai, principal diberikan izin terkait pada sumber daya di dalam grup sumber daya.
Langkah 3: Periksa apakah izin pada kluster telah diberikan kepada pengguna RAM
Masuk ke Konsol Elasticsearch sebagai pengguna RAM.
Di bilah navigasi sisi kiri, klik Elasticsearch Clusters.
Di bilah navigasi atas, pilih grup sumber daya yang baru dibuat dan lihat informasi tentang kluster.