全部產品
Search
文件中心

Elastic Compute Service:授權信息

更新時間:Jul 15, 2026

存取控制(RAM)是阿里雲提供的系統管理使用者身份與資源存取權限的服務。使用 RAM 可以讓您避免與其他使用者共用阿里雲帳號密鑰,並可按需為使用者授予最小許可權。RAM 中使用權限原則描述授權的具體內容。

本文為您介紹 云服务器 ECS 為 RAM 權限原則定義的操作(Action)、資源(Resource)和條件(Condition)。 云服务器 ECS 的 RAM 代碼(RamCode)為 ecs,vpc ,支援的授權粒度為 资源级

權限原則通用結構

權限原則支援 JSON 格式,其通用結構如下:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}        

各欄位含義如下:

  • Effect:權限原則效果。取值:Allow(允許)、Deny(拒絕)。

  • Action:授予允許或拒絕許可權的具體操作。具體資訊,請參見操作(Action)

  • Resource:受操作影響的具體對象,您可以使用資源 ARN 來描述指定資源。具體資訊,請參見資源(Resource)

  • Condition:指授權生效的條件。可選欄位。具體資訊,請參見條件(Condition)

    • Condition_operator:條件運算子,不同類型的條件對應不同的條件運算子。具體資訊,請參見權限原則基本元素

    • Condition_key:條件關鍵字。

    • Condition_value:條件關鍵字對應的值。

操作(Action)

下表是云服务器 ECS定義的操作,這些操作可以在 RAM 權限原則語句的Action元素中使用,用來授予執行該操作的許可權。下面對錶中的具體項提供說明:

  • 操作:是指具體的許可權點。

  • API:是指操作對應的 API 介面。

  • 存取層級:是指每個操作的存取層級,取值為寫入(Write)、讀取(Read)或列出(List)。

  • 資源類型:是指操作中支援授權的資源類型。具體說明如下:

    • 對於必選的資源類型,用前面加 * 表示。

    • 對於不支援資源級授權的操作,用全部資源表示。

  • 條件關鍵字:是指雲產品自身定義的條件關鍵字。該列不體現適用於任何操作的通用條件關鍵字

  • 關聯操作:是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權,操作才能成功。

操作

API

存取層級

資源類型

條件關鍵字

關聯操作

ecs:ReleaseDedicatedHost ReleaseDedicatedHost delete

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

ecs:ModifyDedicatedHostAutoRenewAttribute ModifyDedicatedHostAutoRenewAttribute update

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

ecs:DescribeDedicatedHostClusters DescribeDedicatedHostClusters get

DedicatedHostCluster

acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}

DedicatedHostCluster

acs:ecs:{#regionId}:{#accountId}:ddhcluster/*

ecs:AllocateDedicatedHosts AllocateDedicatedHosts create

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/*

ecs:EnableNetworkInterfaceQoS EnableNetworkInterfaceQoS update

*NetworkInterface

acs:ecs:{#regionId}:{#accountId}:eni/{#eniId}

ecs:DeletePlanMaintenanceWindow DeletePlanMaintenanceWindow delete

*全部资源

*

ecs:DescribeDedicatedHosts DescribeDedicatedHosts get

DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/*

DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

ecs:DescribeDedicatedHostAutoRenew DescribeDedicatedHostAutoRenew get

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

ecs:CreatePlanMaintenanceWindow CreatePlanMaintenanceWindow create

*全部资源

*

ecs:ModifyDedicatedHostAttribute ModifyDedicatedHostAttribute update

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

DedicatedHostCluster

acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}

ecs:RedeployDedicatedHost RedeployDedicatedHost update

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

ecs:DisableNetworkInterfaceQoS DisableNetworkInterfaceQoS update

*NetworkInterface

acs:ecs:{#regionId}:{#accountId}:eni/{#eniId}

ecs:ModifyDedicatedHostsChargeType ModifyDedicatedHostsChargeType update

*全部资源

*

ecs:DescribePlanMaintenanceWindows DescribePlanMaintenanceWindows list

*全部资源

*

ecs:ModifyDedicatedHostClusterAttribute ModifyDedicatedHostClusterAttribute update

*ddhcluster

acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}

ecs:CreateDedicatedHostCluster CreateDedicatedHostCluster create

*全部资源

*

ecs:ModifyDedicatedHostAutoReleaseTime ModifyDedicatedHostAutoReleaseTime update

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

ecs:ModifyPlanMaintenanceWindow ModifyPlanMaintenanceWindow update

*全部资源

*

ecs:RenewDedicatedHosts RenewDedicatedHosts update

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

ecs:DeleteDedicatedHostCluster DeleteDedicatedHostCluster delete

*DedicatedHostCluster

acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}

資源(Resource)

下表是云服务器 ECS定義的資源,這些資源可以在 RAM 權限原則語句的Resource元素中使用,用來授予對該資源執行具體操作的許可權。 其中,資源 ARN 是資源在阿里雲上的唯一標識。具體說明如下:

  • {#}為變數標識,需要您替換為實際值。例如:{#ramcode}需要您替換為實際的雲端服務RAM代碼。

  • *表示全部。例如:

    • {#resourceType}*時:表示全部資源。

    • {#regionId}*時:表示全部地區。

    • {#accountId}*時:表示全部阿里雲帳號。

資源類型

資源 ARN

DedicatedHost
  • acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}
  • acs:ecs:{#regionId}:{#accountId}:ddh/*
Instance
  • acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}
  • acs:ecs:{#regionId}:{#accountId}:instance/*
  • acs:vpc:{#regionId}:{#accountId}:instance/{#InstanceId}
AutoSnapshotPolicy
  • acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/*
  • acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/{#snapshotpolicyId}
Image
  • acs:ecs:{#regionId}:{#accountId}:image/{#imageId}
  • acs:ecs:{#regionId}:{#accountId}:image/*
KeyPair
  • acs:ecs:{#regionId}:{#accountId}:keypair/{#keypairName}
  • acs:ecs:{#regionId}:{#accountId}:keypair/{#keypairId}
  • acs:ecs:{#regionId}:{#accountId}:keypair/*
SecurityGroup
  • acs:ecs:{#regionId}:{#accountId}:securitygroup/{#securitygroupId}
  • acs:ecs:{#regionId}:{#accountId}:securitygroup/*
PortRangeList
  • acs:ecs:{#regionId}:{#accountId}:portrangelist/*
  • acs:ecs:{#regionId}:{#accountId}:portrangelist/{#portRangeListId}
ReservedInstance
  • acs:ecs:{#regionId}:{#accountId}:reservedinstance/*
  • acs:ecs:{#regionId}:{#accountId}:reservedinstance/{#ReservedInstanceId}
Snapshot
  • acs:ecs:{#regionId}:{#accountId}:snapshot/{#snapshotId}
  • acs:ecs:{#regionId}:{#accountId}:snapshot/*
  • acs:ecs::{#accountId}:snapshot/*
  • acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/{#autoSnapshotPolicyId}
LaunchTemplate
  • acs:ecs:{#regionId}:{#accountId}:launchtemplate/{#launchtemplateId}
  • acs:ecs:{#regionId}:{#accountId}:launchtemplate/*
Disk
  • acs:ecs:{#regionId}:{#accountId}:disk/{#diskId}
  • acs:ecs:{#regionId}:{#accountId}:disk/*
  • acs:ecs:{#regionId}:{#accountId}:disk/{#SourceDiskId}
NetworkInterface
  • acs:ecs:{#regionId}:{#accountId}:eni/{#eniId}
  • acs:ecs:{#regionId}:{#accountId}:eni/*
DedicatedHostCluster
  • acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}
  • acs:ecs:{#regionId}:{#accountId}:ddhcluster/*
ImagePipeline
  • acs:ecs:{#regionId}:{#accountId}:imagepipeline/*
  • acs:ecs:{#regionId}:{#accountId}:imagepipeline/{#imagepipelineId}
Command
  • acs:ecs:{#regionId}:{#accountId}:command/{#commandId}
  • acs:ecs:{#regionId}:{#accountId}:command/*
VSwitch
  • acs:vpc:{#regionId}:{#accountId}:vswitch/{#vswitchId}
  • acs:vpc:{#regionId}:{#accountId}:vswitch/*
CapacityReservation
  • acs:ecs:{#regionId}:{#accountId}:capacityreservation/{#CapacityReservationId}
  • acs:ecs:{#regionId}:{#accountId}:capacityreservation/*
PrefixList
  • acs:ecs:{#regionId}:{#accountId}:prefixlist/{#PrefixListId}
VPC
  • acs:vpc:{#regionId}:{#accountId}:vpc/{#vpcId}
  • acs:vpc:{#regionId}:{#accountId}:vpc/*
Role
  • acs:ram:{#regionId}:{#accountId}:role/{#roleName}
ElasticityAssurance
  • acs:ecs:{#regionId}:{#accountId}:elasticityassurance/{#ElasticityAssuranceId}
  • acs:ecs:{#regionId}:{#accountId}:elasticityassurance/*
snapshotpolicy
  • acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/{#snapshotpolicyId}
DiskEncryptionDefaultConfig
  • acs:ecs:{#regionId}:{#accountId}:diskencryptiondefaultconfig/*
Activation
  • acs:ecs:{#regionId}:{#accountId}:activation/*
  • acs:ecs:{#regionId}:{#accountId}:activation/{#ActivationId}
SnapshotGroup
  • acs:ecs:{#regionId}:{#accountId}:snapshotgroup/*
  • acs:ecs:{#regionId}:{#accountId}:snapshotgroup/{#snapshotgroupId}
StorageCapacityUnit
  • acs:ecs:{#regionId}:{#accountId}:scu/*
  • acs:ecs:{#regionId}:{#accountId}:scu/{#scuId}
AutoProvisioningGroup
  • acs:ecs:{#regionId}:{#accountId}:autoprovisioninggroup/{#autoprovisioninggroupId}
  • acs:ecs:{#regionId}:{#accountId}:autoprovisioninggroup/*
Invocation
  • acs:ecs:{#regionId}:{#accountId}:invocation/{#invocationId}
ddhcluster
  • acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}
  • acs:ecs:{#regionId}:{#accountId}:ddhcluster/*
DeploymentSet
  • acs:ecs:{#regionid}:{#accountId}:deploymentset/{#deploymentSetId}
  • acs:ecs:{#regionId}:{#accountId}:deploymentset/*
HpcCluster
  • acs:ecs:{#regionId}:{#accountId}:hpc/{#hpcClusterId}
  • acs:ecs:{#regionId}:{#accountId}:hpc/*
ServiceSettings
  • acs:ecs:{#regionId}:{#accountId}:servicesettings/{#servicesettingId}
activation
  • acs:ecs:{#regionId}:{#accountId}:activation/{#activationId}
autoprovisioninggroup
  • acs:ecs:{#regionId}:{#accountId}:autoprovisioninggroup/{#autoprovisioninggroupId}
ImageComponent
  • acs:ecs:{#regionId}:{#accountId}:imagecomponent/*
  • acs:ecs:{#regionId}:{#accountId}:imagecomponent/{#imagecomponentId}
Fleet
  • acs:ecs:{#regionId}:{#accountId}:fleet/*
ImagePipelineExecution
  • acs:ecs:{#regionId}:{#accountId}:imagepipelineexecution/*
  • acs:ecs:{#regionId}:{#accountId}:imagepipelineexecution/{#ImagePipelineExecutionId}
ForwardTable
  • acs:vpc:{#regionId}:{#accountId}:forwardtable/{#ForwardTableId}
RouterInterface
  • acs:vpc:{#regionId}:{#accountId}:routerinterface/{#RouterInterfaceId}
  • acs:vpc:{#regionId}:{#accountId}:routerinterface/*
HaVip
  • acs:vpc:{#regionId}:{#accountId}:havip/{#HaVipId}
  • acs:vpc:{#regionId}:{#accountId}:havip/*
PhysicalConnection
  • acs:vpc:{#regionId}:{#accountId}:physicalconnection/{#PhysicalConnectionId}
  • acs:vpc:{#regionId}:{#accountId}:physicalconnection/*
VirtualBorderRouter
  • acs:vpc:{#regionId}:{#accountId}:virtualborderrouter/{#VirtualBorderRouterId}
  • acs:vpc:{#regionId}:{#accountId}:virtualborderrouter/{#VbrId}
  • acs:vpc:{#regionId}:{#AccountId}:virtualborderrouter/*
Address
  • acs:vpc:{#regionId}:{#accountId}:eip/{#AllocationId}
  • acs:vpc:{#regionId}:{#accountId}:eip/*
NatGateway
  • acs:vpc:{#regionId}:{#accountId}:natgateway/{#natgatewayid}
  • acs:vpc:{#regionId}:{#accountId}:natgateway/*
RouteTable
  • acs:vpc:{#regionId}:{#accountId}:routetable/{#RouteTableId}
BandwidthPackage
  • acs:vpc:{#regionId}:{#accountId}:bandwidthpackage/{#BandwidthPackageId}
  • acs:vpc:{#regionId}:{#accountId}:bandwidthpackage/*
VRouter
  • acs:vpc:{#regionId}:{#accountId}:vrouter/*
  • acs:vpc:{#regionId}:{#accountId}:vrouter/{#VRouterId}
Association
  • acs:vpc:{#regionId}:{#accountId}:havip/{#HaVipId}

條件(Condition)

下表是云服务器 ECS 定義的產品級條件關鍵字,這些條件關鍵字可以在 RAM 權限原則語句的Condition元素中使用,用來描述授予許可權的條件。以下僅列舉產品級的條件關鍵字,阿里雲定義的通用條件關鍵字也同樣適用云服务器 ECS

其中,資料類型決定了您可以使用哪些條件運算子將請求中的值與權限原則語句中的值進行比較。您必須使用與資料類型匹配的條件運算子,否則無法匹配策略語句,授權行為無效。資料類型與條件運算子的對應關係,請參見條件操作類型

條件關鍵字

描述

類型

ecs:ImagePlatform 映像的作業系統類型。 String
ecs:SecurityEnhancementStrategy 是否啟用安全性加固。 String
vpc:CreateDefaultVpc 是否可以建立預設 VPC。 Boolean
ecs:AssociatePublicIpAddress 是否支援資源在建立和變更配置過程中進行公網 IP 分配,即是否允許操作資源使公網頻寬大於 0Mbit/s。 Boolean
ecs:PasswordInherit 執行個體是否繼承映像密碼。 Boolean
vpc:IsDefaultVSwitch 是否為預設 VSwitch,是否可以使用預設 VSwitch。 Boolean
ecs:IsSystemDiskEncrypted 是否為加密系統磁碟。 String
ecs:IsSystemDiskByokEncrypted 是否為主金鑰加密系統磁碟。 String
ecs:ImageSource 映像來源。 String
ecs:PasswordCustomized 是否使用了自訂密碼。 Boolean
ecs:CommandRunAs 執行雲端助手命令的作業系統內使用者。 String
ecs:SecurityHardeningMode 存取執行個體中繼資料時是否強制使用加固模式(IMDSv2)。 Boolean
ecs:SecurityGroupSourceCidrIps 安全性群組設定存取權限的來源端 IPv4 CIDR 位址段。 Array
vpc:VPC 描述:VPC 的資源 ARN。範例值:acs:vpc:cn-shanghai:1234567890:vpc/vpc-abc0123efg4567***。 String
ecs:IsDiskEncrypted 是否為加密資料磁碟。 String
ecs:InstanceTypeFamily 執行個體規格族。 String
ecs:InstanceChargeType 執行個體的付費方式。 String
ecs:ImageOwnerId 映像的擁有者 UID。 String
ecs:SecurityGroupIpProtocols 安全性群組開放的傳輸層協定。 Array
vpc:IsDefaultVpc 是否為預設 VPC。 Boolean
ecs:LoginAsNonRoot 是否為非 root 身分登入執行個體。 Boolean
ecs:IsDiskByokEncrypted 是否為主金鑰加密資料磁碟。 String
ecs:InstanceType 執行個體規格。 String
ecs:NotSpecifySecurityGroupId 是否沒有指定安全性群組 ID。 Boolean

相關操作

您可以建立自訂權限原則,並將權限原則授予 RAM 使用者、RAM 使用者組或 RAM 角色。具體操作如下: