Topik ini menjelaskan cara mengelola izin Elastic Compute Service (ECS) untuk pengguna Resource Access Management (RAM).
Informasi latar belakang
RAM menyediakan kebijakan sistem ECS berikut:
AliyunECSFullAccess: memberikan izin kepada pengguna RAM untuk mengelola instans ECS.
AliyunECSReadOnlyAccess: memberikan izin read-only kepada pengguna RAM terhadap instans ECS.
Jika kebijakan sistem tidak memenuhi kebutuhan spesifik Anda, Anda dapat membuat kebijakan kustom untuk menerapkan prinsip hak istimewa minimal. Kebijakan kustom memungkinkan Anda mencapai kontrol detail halus atas izin dan meningkatkan keamanan akses sumber daya. Untuk informasi selengkapnya, lihat Otorisasi RAM.
Prosedur
Buat pengguna RAM.
Untuk informasi selengkapnya, lihat Buat pengguna RAM.
Buat kebijakan kustom.
Untuk informasi selengkapnya, lihat Buat kebijakan kustom dan Contoh kebijakan.
Sambungkan kebijakan kustom ke pengguna RAM.
Untuk informasi selengkapnya, lihat Berikan izin kepada peran RAM.
Saat menyambungkan kebijakan kustom ke pengguna RAM, Anda dapat menentukan salah satu cakupan otorisasi berikut:
Account: Izin berlaku untuk semua sumber daya pada Akun Alibaba Cloud saat ini. Pada contoh ini, Account dipilih.
Resource Group: Otorisasi berlaku untuk kelompok sumber daya tertentu.
Contoh kebijakan
Contoh 1: Berikan otorisasi kepada pengguna RAM untuk mengelola dua instans ECS tertentu.
Untuk memberikan otorisasi kepada pengguna RAM agar dapat mengelola instans ECS i-001 dan i-002 (i-001 dan i-002 adalah ID instans ECS) dalam Akun Alibaba Cloud Anda, gunakan skrip contoh berikut:
{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-001", "acs:ecs:*:*:instance/i-002" ] }, { "Action": "ecs:Describe*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }CatatanPengguna RAM yang diberi otorisasi dapat melihat semua instans ECS tetapi hanya dapat mengelola dua instans ECS yang ditentukan. Jika Anda ingin pengguna RAM tersebut hanya dapat melihat dan mengelola dua instans ECS tersebut, tambahkan instans ECS tersebut ke dalam kelompok sumber daya dan berikan otorisasi kepada pengguna RAM untuk melihat serta mengelola instans ECS dalam kelompok sumber daya tersebut. Untuk informasi selengkapnya, lihat Gunakan kelompok sumber daya untuk mengelola instans ECS.
Describe*wajib dicantumkan dalam kebijakan. Jika tidak, pengguna RAM yang diberi otorisasi tidak dapat melihat instans ECS di Konsol ECS. Namun, pengguna tersebut tetap dapat mengelola dua instans ECS yang ditentukan dengan memanggil operasi API atau menggunakan CLI atau SDK.
Contoh 2: Berikan otorisasi kepada pengguna RAM untuk melihat instans ECS di wilayah China (Qingdao), tetapi jangan izinkan pengguna tersebut melihat informasi mengenai disk dan Snapshot.
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:Describe*", "Resource": "acs:ecs:cn-qingdao:*:instance/*" } ], "Version": "1" }CatatanJika Anda ingin memberikan otorisasi kepada pengguna RAM untuk melihat instans ECS di wilayah lain, ganti
cn-qingdaodalam elemenResourcedengan ID wilayah tersebut. Untuk informasi selengkapnya mengenai ID wilayah, lihat Wilayah dan zona.Contoh 3: Berikan otorisasi kepada pengguna RAM untuk membuat Snapshot.
Jika pengguna RAM tidak dapat membuat snapshot disk setelah diberikan hak administratif pada instans ECS, Anda harus memberikan izin disk kepada pengguna tersebut. Pada contoh ini, ID instans ECS adalah
i-001dan ID disk adalahd-001.{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-001" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:disk/d-001", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }