Topik ini menjelaskan cara menggunakan Alibaba Cloud RAM dan kelompok sumber daya untuk memberikan izin kepada Pengguna RAM agar hanya dapat melihat dan mengelola instans ECS tertentu.
Prosedur
Contoh ini menunjukkan cara memberikan izin kepada Pengguna RAM bernama Alice untuk mengelola instans ECS tertentu (i-001) sekaligus membatasi akses ke semua instans lainnya. Untuk melakukannya, tambahkan instans ECS tersebut ke dalam kelompok sumber daya, lalu berikan izin berdasarkan kelompok tersebut.
Instans ECS tetap beroperasi secara normal selama proses otorisasi.
Langkah-langkah berikut harus dilakukan oleh administrator akun.
Di Konsol RAM, buat Pengguna RAM bernama Alice.
Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Di Konsol Resource Management, buat kelompok sumber daya bernama ECS-Admin.
Untuk informasi lebih lanjut, lihat Buat kelompok sumber daya.
Di Konsol Resource Management, tambahkan instans ECS i-001 ke kelompok sumber daya ECS-Admin.
Anda dapat menambahkan instans ECS ke kelompok sumber daya dengan salah satu cara berikut:
Saat membuat instans ECS baru, Anda dapat langsung menambahkannya ke kelompok sumber daya ECS-Admin. Untuk informasi lebih lanjut, lihat Buat instans menggunakan wizard.
Untuk instans ECS yang sudah ada, Anda dapat memindahkannya ke kelompok sumber daya ECS-Admin. Untuk informasi lebih lanjut, lihat Transfer resource antar kelompok sumber daya.
Di Konsol RAM, berikan izin kepada Pengguna RAM Alice.
Atur Ruang Lingkup Otorisasi menjadi Kelompok Sumber Daya dan pilih ECS-Admin. Atur Principal menjadi Pengguna RAM dan pilih Alice. Untuk kebijakan, pilih kebijakan sistem AliyunECSFullAccess. Untuk informasi lebih lanjut, lihat Berikan izin kepada Pengguna RAM.
CatatanPraktik terbaik: Di lingkungan produksi, ikuti prinsip hak istimewa minimal. Buat kebijakan kustom yang hanya memberikan izin yang diperlukan untuk tugas tersebut guna meminimalkan risiko keamanan akibat izin berlebihan.
Verifikasi hasil
Login ke Konsol ECS sebagai Pengguna RAM Alice.
Untuk informasi lebih lanjut, lihat Login ke Konsol Manajemen Alibaba Cloud sebagai Pengguna RAM.
Di panel navigasi sebelah kiri, pilih .
Di pojok kiri atas bilah navigasi atas, pilih wilayah tempat instans berada.
Di bilah navigasi atas, pilih ECS-Admin dari daftar drop-down kelompok sumber daya.
PentingPengguna RAM harus memilih kelompok sumber daya yang benar untuk melihat instans di dalamnya. Jika tidak memilih kelompok sumber daya atau memilih kelompok yang berbeda, daftar instans akan tampak kosong.
Di halaman Instances, verifikasi bahwa Anda dapat melihat dan mengelola instans target i-001.
Referensi
Anda dapat memindahkan resource yang terkait dengan instans ECS ke kelompok sumber daya yang sama dengan instans tersebut, baik secara manual maupun otomatis menggunakan fitur transfer resource dari Resource Management. Transfer otomatis saat ini hanya mendukung cloud disk, elastic network interfaces (ENIs), dan elastic IP addresses (EIPs). Untuk informasi lebih lanjut, lihat Transfer resource terkait bersama resource utama.
Anda dapat menggunakan Terraform untuk menyediakan resource dan mengonfigurasi izin yang dijelaskan dalam tutorial ini dengan menjalankan kode contoh di Terraform Explorer. Terraform Explorer