Anda dapat menyambungkan tag ke instance Elastic Compute Service (ECS) dan menentukan tag yang diizinkan dalam kebijakan kustom Resource Access Management (RAM). Dengan demikian, Anda dapat membatasi pengguna RAM agar hanya dapat melihat dan mengelola instance ECS tertentu berdasarkan tag tersebut.
Informasi latar belakang
Gambar berikut menunjukkan logika pembatasan izin pengguna RAM berdasarkan tag, yang juga dikenal sebagai otentikasi berbasis tag.
Dalam kebijakan kustom, Anda dapat menentukan tag yang diizinkan dalam elemen Condition. Tag mendukung kunci kondisi berikut:
acs:RequestTag/<tag-key>: Informasi tag yang dikirim dalam permintaan. Artinya, ketika pengguna memanggil operasi API, tag tersebut harus disertakan dalam parameter permintaan.acs:ResourceTag/<tag-key>: Informasi tag yang melekat pada sumber daya yang diminta. Artinya, ketika pengguna melakukan operasi pada suatu sumber daya, sumber daya tersebut harus memiliki tag yang ditentukan.
Prosedur
Bagian ini memberikan contoh cara mengizinkan pengguna RAM bernama Alice untuk melihat dan mengelola hanya instance ECS yang memiliki tag owner:alice dan environment:production. Alice tidak dapat melihat atau mengelola instance ECS lainnya.
Instance ECS tetap berjalan secara normal selama proses otorisasi ini.
Lakukan langkah-langkah berikut sebagai administrator akun.
Di Konsol RAM, buat pengguna RAM bernama Alice.
Untuk informasi selengkapnya, lihat Buat pengguna RAM.
Sambungkan tag ke instance ECS yang diperlukan.
Pada contoh ini, sambungkan tag
owner:alicedanenvironment:productionke instance ECS tersebut.Anda dapat menggunakan salah satu metode berikut untuk menyambungkan tag:
Di Konsol Tag. Untuk informasi selengkapnya, lihat Buat tag dan Sambungkan tag.
Di Konsol ECS. Untuk informasi selengkapnya, lihat Buat dan sambungkan tag.
Di Konsol RAM, buat kebijakan kustom bernama UseTagAccessRes.
Kode berikut menunjukkan isi kebijakan. Untuk informasi selengkapnya, lihat Buat kebijakan kustom.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecs:*", "Resource": "*", "Condition": { "StringEquals": { "acs:ResourceTag/owner": [ "alice" ], "acs:ResourceTag/environment": [ "production" ] } } }, { "Effect": "Allow", "Action": "ecs:*", "Resource": "*", "Condition": { "StringEquals": { "acs:RequestTag/owner": [ "alice" ], "acs:RequestTag/environment": [ "production" ] } } }, { "Effect": "Allow", "Action": [ "ecs:List*", "ecs:DescribeInstanceStatus", "ecs:DescribeInstanceVncUrl", "ecs:DescribeInstanceAutoRenewAttribute", "ecs:DescribeInstanceRamRole", "ecs:DescribeInstanceTypeFamilies", "ecs:DescribeInstanceTypes", "ecs:DescribeInstanceAttachmentAttributes", "ecs:DescribeInstancesFullStatus", "ecs:DescribeInstanceHistoryEvents", "ecs:DescribeInstanceMonitorData", "ecs:DescribeInstanceMaintenanceAttributes", "ecs:DescribeInstanceModificationPrice", "ecs:DescribeA*", "ecs:DescribeC*", "ecs:DescribeD*", "ecs:DescribeE*", "ecs:DescribeH*", "ecs:DescribeIm*", "ecs:DescribeInv*", "ecs:DescribeK*", "ecs:DescribeL*", "ecs:DescribeM*", "ecs:DescribeN*", "ecs:DescribeP*", "ecs:DescribeR*", "ecs:DescribeS*", "ecs:DescribeT*", "ecs:DescribeZ*", "vpc:DescribeVpcs", "vpc:DescribeVSwitches" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecs:DeleteTags", "ecs:UntagResources", "ecs:CreateTags", "ecs:TagResources" ], "Resource": "*" } ] }Deskripsi kebijakan:
Isi kebijakan
Deskripsi
{ "Effect": "Allow", "Action": "ecs:*", "Resource": "*", "Condition": { "StringEquals": { "acs:RequestTag/owner": "alice", "acs:RequestTag/environment": "production" } } }Mengizinkan penyaringan instance ECS berdasarkan tag
owner:alicedanenvironment:production.{ "Effect": "Allow", "Action": "ecs:*", "Resource": "*", "Condition": { "StringEquals": { "acs:ResourceTag/owner": [ "alice" ], "acs:ResourceTag/environment": [ "production" ] } } }Mengizinkan operasi pengelolaan pada instance ECS yang memiliki tag
owner:alicedanenvironment:production.{ "Effect": "Allow", "Action": [ "ecs:List*", "ecs:DescribeInstanceStatus", "ecs:DescribeInstanceVncUrl", "ecs:DescribeInstanceAutoRenewAttribute", "ecs:DescribeInstanceRamRole", "ecs:DescribeInstanceTypeFamilies", "ecs:DescribeInstanceTypes", "ecs:DescribeInstanceAttachmentAttributes", "ecs:DescribeInstancesFullStatus", "ecs:DescribeInstanceHistoryEvents", "ecs:DescribeInstanceMonitorData", "ecs:DescribeInstanceMaintenanceAttributes", "ecs:DescribeInstanceModificationPrice", "ecs:DescribeA*", "ecs:DescribeC*", "ecs:DescribeD*", "ecs:DescribeE*", "ecs:DescribeH*", "ecs:DescribeIm*", "ecs:DescribeInv*", "ecs:DescribeK*", "ecs:DescribeL*", "ecs:DescribeM*", "ecs:DescribeN*", "ecs:DescribeP*", "ecs:DescribeR*", "ecs:DescribeS*", "ecs:DescribeT*", "ecs:DescribeZ*", "vpc:DescribeVpcs", "vpc:DescribeVSwitches" ], "Resource": "*" }Mengizinkan melihat informasi tentang instance ECS.
{ "Effect": "Deny", "Action": [ "ecs:DeleteTags", "ecs:UntagResources", "ecs:CreateTags", "ecs:TagResources" ], "Resource": "*" }Menolak penghapusan, pelepasan, pembuatan, dan pemasangan tag.
Hal ini mencegah pengguna RAM kehilangan izin dengan memodifikasi tag.
Di Konsol RAM, berikan izin yang diperlukan kepada pengguna RAM Alice.
Atur Cakupan Sumber Daya ke Account Level, pilih pengguna RAM Alice sebagai Principal, dan pilih kebijakan kustom UseTagAccessRes. Untuk informasi selengkapnya, lihat Berikan izin kepada pengguna RAM.
Verifikasi hasil
Masuk ke Konsol ECS sebagai pengguna RAM Alice.
Untuk informasi selengkapnya, lihat Masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM.
Di panel navigasi sebelah kiri, pilih .
Di pojok kiri atas bilah menu atas, pilih wilayah.
Di halaman Instances, klik Tag Filtering di sebelah bilah pencarian, lalu pilih tag
owner:alicedanenvironment:production.
PentingPengguna RAM hanya dapat melihat instance ECS dengan tag yang ditentukan setelah melakukan penyaringan berdasarkan tag tersebut. Jika tidak, tidak ada instance ECS yang ditampilkan.
Anda sekarang hanya dapat melihat dan mengelola instance ECS yang memiliki tag
owner:alicedanenvironment:production.
Referensi
Untuk informasi selengkapnya tentang aturan otentikasi RAM untuk ECS, lihat Informasi otorisasi.