本ドキュメントでは、サンプルポリシーを使用して、RAM ユーザーが指定した ECS インスタンスを管理できるようにする方法を示します。

次のポリシーは、許可された RAM ユーザーが Alibaba Cloud アカウント配下のすべての ECS インスタンスを表示できるものの、管理できるのは i-001 ECS インスタンスのみであることを示します。

{
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": "acs:ecs:*:*:instance/i-001"
    },
    {
      "Action": "ecs:Describe*",
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}
ポリシーには Describe* 要素が必要です。 この要素がない場合、許可された RAM ユーザーはコンソールでインスタンスを表示できません。 ただし、RAM ユーザーは、API 操作、CLI、または ECS SDK を使用して、指定された ECS インスタンスを管理できます。