Topik ini memberikan contoh kebijakan RAM yang memberikan izin pengelolaan penuh kepada pengguna untuk satu instans ECS tertentu, sekaligus memberikan akses read-only ke semua instans lainnya.
Skenario
Anda ingin mendelegasikan administrasi instans ECS tertentu (i-001) kepada pengguna RAM. Agar dapat mengelola instans tersebut secara efektif melalui Konsol, pengguna harus dapat melihat daftar dan detail semua instans untuk menemukan instans yang ditugaskan kepadanya. Namun, pengguna tersebut hanya boleh memiliki izin untuk melakukan aksi (seperti start, stop, atau reboot) pada instans yang ditentukan.
Contoh kebijakan
Kebijakan berikut mencapai tujuan ini dengan menggunakan dua pernyataan terpisah.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ecs:*",
"Resource": "acs:ecs:*:*:instance/i-001"
},
{
"Effect": "Allow",
"Action": "ecs:Describe*",
"Resource": "*"
}
]
}Cara kerja kebijakan ini
Kebijakan ini terdiri dari dua pernyataan yang bekerja bersama untuk menyediakan tingkat akses yang diperlukan:
Pernyataan 1: Mengizinkan pengelolaan penuh terhadap instans tertentu
"Action": "ecs:*" yang dikombinasikan dengan "Resource": "acs:ecs:*:*:instance/i-001" memberikan izin untuk melakukan semua aksi ECS (seperti ecs:StartInstance dan ecs:StopInstance), tetapi membatasi izin tersebut hanya pada instans dengan ID i-001.
Pernyataan 2: Mengizinkan akses read-only ke semua instans
"Action": "ecs:Describe*" yang dikombinasikan dengan "Resource": "*" memberikan izin untuk semua aksi read-only yang diawali dengan "Describe" (seperti ecs:DescribeInstances dan ecs:DescribeInstanceAttribute).
Izin ini sangat penting agar pengguna RAM dapat melihat daftar dan detail instans di Konsol Manajemen Alibaba Cloud. Tanpa pernyataan ini, pengguna tidak akan dapat melihat instans apa pun di konsol, sehingga mustahil menemukan dan mengelola instans yang telah diberikan izin kepadanya.