Anda dapat menjalankan perintah Cloud Assistant hanya pada instance Elastic Compute Service (ECS) dengan tag tertentu menggunakan Peran RAM atau sebagai pengguna RAM. Jika Anda menjalankan perintah pada instance ECS yang tidak memiliki tag tertentu, perintah tersebut akan gagal dijalankan. Topik ini menjelaskan cara menjalankan perintah Cloud Assistant pada instance ECS dengan tag tertentu sebagai pengguna RAM. Topik ini juga memberikan contoh kebijakan kustom yang dapat digunakan serta masalah umum dan solusi untuk masalah tersebut.
Prosedur
Buat pengguna RAM menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki izin administratif.
Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Buat kebijakan kustom menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki izin administratif.
Topik ini memberikan contoh berikut untuk menunjukkan cara membuat kebijakan kustom:
Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Lampirkan kebijakan kustom ke pengguna RAM yang dibuat menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki izin administratif.
Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Masuk ke Konsol ECS sebagai pengguna RAM yang dibuat dan pergi ke halaman Cloud Assistant untuk menguji apakah izin yang didefinisikan dalam kebijakan kustom diberikan kepada pengguna RAM.
Jika Anda menjalankan perintah pada instance ECS yang tidak memiliki tag
user:alice, perintah tersebut gagal dijalankan.Jika Anda menjalankan perintah pada instance ECS yang memiliki tag
user:alice, perintah berhasil dijalankan.
Untuk informasi tentang cara masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM, lihat Masuk ke Konsol Manajemen Alibaba Cloud sebagai Pengguna RAM.
Kebijakan 1: Izinkan pengguna RAM untuk menjalankan perintah dan mentransfer file hanya pada instance ECS dengan tag tertentu
Kebijakan ini mengizinkan pengguna RAM untuk menjalankan perintah Cloud Assistant dan mentransfer file hanya pada instance ECS yang memiliki tag user:alice.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:StopInvocation",
"ecs:SendFile"
],
"Resource": "acs:ecs:*:*:instance/*",
"Condition": {
"StringEquals": {
"acs:ResourceTag/user": "alice"
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:StopInvocation",
"ecs:SendFile"
],
"Resource": "acs:ecs:*:*:command/*"
}
]
}Kebijakan 2: Izinkan pengguna RAM untuk menanyakan tag yang ditambahkan ke instance ECS, menanyakan instance ECS, dan mengelola perintah Cloud Assistant
Kebijakan ini hanya mengizinkan pengguna RAM untuk menanyakan tag yang ditambahkan ke instance ECS, menanyakan instance ECS, dan mengelola perintah Cloud Assistant.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeTag*",
"ecs:DescribeInstance*",
"ecs:DescribeCommands",
"ecs:CreateCommand",
"ecs:DeleteCommand",
"ecs:ModifyCommand",
"ecs:DescribeInvocationResults",
"ecs:DescribeSendFileResults",
"ecs:DescribeInstances",
"ecs:DescribeCloudAssistantStatus",
"ecs:DescribeInvocations",
"ecs:DescribeResourceByTags",
"ecs:DescribeTagKeys",
"ecs:DescribeTags",
"ecs:ListTagResources",
"ecs:DescribeManagedInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "oos:ListSecretParameters",
"Resource": "*"
}
]
}Masalah umum dan solusi untuk masalah tersebut
Jika kebijakan kustom tidak berlaku, Anda harus memeriksa apakah elemen Effect untuk izin berikut disetel ke Allow:
["ecs:InvokeCommand","ecs:RunCommand", "ecs:StopInvocation","ecs:SendFile"].
Jika elemen Effect untuk izin ini disetel ke Allow, Anda harus menghapus izin ini dari kebijakan kustom.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:InvokeCommand",
"ecs:RunCommand",
"ecs:StopInvocation",
"ecs:SendFile"
],
"Resource": "*"
}
]
}