如果系統權限原則不能滿足您的要求,您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控,是提升資源訪問安全的有效手段。本文介紹E-HPC使用自訂權限原則的情境和策略樣本。
什麼是自訂權限原則
在基於RAM的存取控制體系中,自訂權限原則是指在系統權限原則之外,您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。
建立自訂權限原則後,需為RAM使用者、使用者組或RAM角色綁定權限原則,這些RAM身份才能獲得權限原則中指定的存取權限。
已建立的權限原則支援刪除,但刪除前需確保該策略未被引用。如果該權限原則已被引用,您需要在該權限原則的引用記錄中移除授權。
自訂權限原則支援版本控制,您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。
操作文檔
授權資訊參考
使用自訂權限原則,您需要瞭解業務的許可權管控需求,並瞭解E-HPC的授權資訊。詳細內容請參見授權資訊。
授予RAM使用者使用已有雲資源建立E-HPC叢集
以下策略表示:僅允許RAM使用者選擇已有的Virtual Private Cloud、Apsara File Storage NAS等資源建立叢集。
若RAM使用者需要建立新的雲資源,必須為其授予相應的產品系統管理權限。關於如何授權,請參見為RAM使用者授權。
VPC資源: 如果RAM使用者需要建立和管理Virtual Private Cloud資源,應授予他們
AliyunVPCFullAccess系統策略。此策略提供了對VPC服務的全面存取權限,包括建立、配置和管理VPC資源。NAS資源: 如果RAM使用者需要建立和管理Apsara File Storage NAS資源,應授予他們
AliyunNASFullAccess系統策略。此策略允許使用者全面操作NAS服務,包括建立檔案系統、建立掛載點等。
如需使用RAM使用者通過Workbench登入ECS執行個體時,請確保已為該RAM使用者授予
AliyunECSWorkbenchFullAccess系統許可權。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:GetRole",
"ram:CheckServiceLinkedRoleExistence",
"ram:ListResourceGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "vpc:DescribeEipAddresses",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cms:QueryMetricList",
"cms:QueryMetricLast"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeEipPrice",
"ecs:DescribePrice",
"ecs:DescribeKeyPairs",
"ecs:DescribeSecurityGroups",
"ecs:DescribeInstances",
"ecs:RebootInstance",
"ecs:RebootInstances",
"ecs:DescribeCloudAssistantStatus",
"ecs:DescribeUserBusinessBehavior",
"ecs:ModifyUserBusinessBehavior",
"ecs:DescribeCloudAssistantSettings",
"ecs:RunCommand",
"ecs:DescribeInvocations",
"ecs:ListServiceSettings"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"nas:DescribeProtocolMountTarget",
"nas:DescribeFilesets",
"nas:DescribeFileSystems"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "bssapi:DescribeInstanceBill",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ehpc:*",
"Resource": "*"
}
]
}