Untuk mengelola resource groups menggunakan identitas RAM seperti RAM user atau RAM role, Anda harus menyambungkan kebijakan izin yang sesuai. Contoh berikut menggunakan RAM user.
Ikhtisar
Izin yang diperlukan terbagi menjadi tiga kategori. Berikan ketiganya jika RAM user memerlukan akses penuh, atau ikuti prinsip least privilege dan berikan hanya izin yang diperlukan.
-
Mengelola resource groups: Membuat, menghapus, memodifikasi, dan melihat resource groups.
-
Melihat sumber daya dalam kelompok sumber daya: Lihat sumber daya di tab Resources pada halaman detail kelompok sumber daya.
-
Mengelola otorisasi berbasis cakupan resource group: Mengelola otorisasi RAM pada tab Permissions di halaman detail resource group, seperti melihat, memberikan, dan mencabut izin.
Mengelola resource groups
Izin manajemen kelompok sumber daya
Sambungkan kebijakan berikut untuk memberikan RAM user izin penuh dalam mengelola resource groups, termasuk membuat, menghapus, memodifikasi, dan melihatnya. Izin ini biasanya diberikan kepada administrator resource group.
Elemen Action mencakup ram:TagResources, ram:UntagResources, dan ram:ListTagResources. Identitas RAM dengan kebijakan ini dapat menambahkan, menghapus, dan melihat tag untuk resource seperti resource groups, RAM users, dan RAM roles. Berikan izin ini dengan hati-hati.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:*ResourceGroup*",
"ram:*AssociatedTransfer*",
"ram:LookupResourceGroupEvents",
"resourcemanager:*ResourceGroup*",
"resourcemanager:*AutoGrouping*",
"ram:TagResources",
"ram:UntagResources",
"ram:ListTagResources"
],
"Resource": "*"
}
]
}Izin read-only resource group
Untuk memberikan RAM user izin read-only terhadap resource groups, sambungkan kebijakan berikut.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:GetResourceGroup*",
"ram:ListResourceGroup*",
"ram:ListAssociatedTransferSetting",
"ram:LookupResourceGroupEvents",
"resourcemanager:GetResourceGroup*",
"resourcemanager:ListResourceGroup*",
"resourcemanager:GetAutoGrouping*",
"resourcemanager:ListAutoGrouping*",
"ram:ListTagResources"
],
"Resource": "*"
}
]
}Melihat sumber daya dalam kelompok sumber daya
Agar Pengguna RAM dapat melihat sumber daya di tab Resources pada halaman detail kelompok sumber daya, berikan juga izin read-only untuk sumber daya target.
-
Contoh 1: Untuk memungkinkan RAM user melihat hanya resource VPC dalam resource group ProjectA, berikan AliyunVPCReadOnlyAccess pada cakupan resource group ProjectA.
-
Contoh 2: Untuk memungkinkan RAM user melihat semua resource di seluruh resource groups, berikan ReadOnlyAccess pada tingkat akun.
Mengelola otorisasi berbasis cakupan resource group
Untuk mengizinkan RAM user mengelola otorisasi RAM (seperti melihat, memberikan, dan mencabut otorisasi) pada tab Permissions di halaman detail resource group, sambungkan kebijakan berikut. Kebijakan ini ditujukan untuk administrator izin RAM.
Elemen Action mencakup ram:AttachPolicy, ram:DetachPolicy, dan ram:ListPolicyAttachments. Ketika Resource diatur ke *, identitas RAM yang diberi otorisasi dapat melihat, mencabut, dan memberikan izin kepada identitas RAM mana pun pada cakupan resource group apa pun atau cakupan akun. Ini merupakan operasi berisiko tinggi. Berikan dengan hati-hati.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:AttachPolicy",
"ram:DetachPolicy",
"ram:ListPolicyAttachments",
"ram:ListPolicies",
"ram:ListUsers",
"ram:ListGroups",
"ram:ListRoles"
],
"Resource": "*"
}
]
}