本文描述無影雲手機支援的所有系統權限原則及其對應的許可權描述,供您授權RAM身份時參考。
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。阿里雲存取控制(RAM)產品提供了兩種類型的權限原則:系統策略和自訂策略。系統策略統一由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。自訂策略由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。在產品迭代過程中,無影雲手機會向系統策略中添加新的許可權,用來支援新的功能和能力。系統策略的更新將會影響所有授予了該策略的 RAM 身份,包括 RAM 使用者、RAM 使用者組和 RAM 角色。有關 RAM 權限原則的更多資訊,請參閱權限原則概覽。
產品系統策略旨在協助使用者快速入門,僅需簡單配置即可通過控制台訪問該產品及其依賴產品。雖然系統策略包含的許可權同樣適用於 OpenAPI 或 CLI 等訪問方式,但為了提高安全性,我們推薦您在這些情境下使用自訂策略,按需授予人員及應用特定 API 的存取權限。
系統策略可進一步細分為產品系統策略、服務角色策略和服務關聯角色策略三類。部分雲產品僅提供三類策略中的一類或兩類,請以本文實際展示的策略類型為準。
產品系統策略
AliyunECDFullAccess
您可以將AliyunECDFullAccess策略授權給RAM身份。本策略定義了管理無影雲手機的許可權。
AliyunVPCFullAccess
無影雲手機涉及Virtual Private Cloud相關資源的建立,因此,您可以將AliyunVPCFullAccess策略授權給RAM身份。本策略定義了管理Virtual Private Cloud的許可權。
AliyunCADTFullAccess
建立雲手機執行個體組時,無影雲手機支援自動建立VPC網路,從而免去您手動建立的步驟。自動建立VPC網路的功能依賴Cloud Architect Design Tools (CADT)產品的能力,因此,如果您使用RAM使用者建立雲手機執行個體組,請務必提前為該RAM使用者添加AliyunCADTFullAccess權限原則,否則將建立失敗。本策略定義了管理CADT的許可權。
AliyunEIPFullAccess
為雲手機開通互連網訪問時,無影雲手機依賴Elastic IP Address (EIP)產品的能力。因此,如果您使用RAM使用者為雲手機開通互連網訪問,請務必提前為該RAM使用者添加AliyunEIPFullAccess權限原則,否則將操作失敗。本策略定義了管理EIP的許可權。
AliyunNATGatewayFullAccess
為雲手機開通互連網訪問時,無影雲手機依賴NAT Gateway產品的能力。因此,如果您使用RAM使用者為雲手機開通互連網訪問,請務必提前為該RAM使用者添加AliyunNATGatewayFullAccess權限原則,否則將操作失敗。本策略定義了管理NAT Gateway的許可權。
AliyunECSFullAccess
如果需要在本地裝置上通過公網ADB訪問雲手機,則需要建立DNAT條目並修改安全性群組配置。詳細資料,請參見如何通過ADB串連雲手機。
上述過程中,需要前往Elastic Compute Service (ECS)控制台修改彈性網卡和安全性群組的相關配置,因此,如果您使用RAM使用者操作,請務必提前為該RAM使用者添加AliyunECSFullAccess權限原則,否則將操作失敗。本策略定義了管理Elastic Compute Service的許可權。
AliyunTagAdministratorAccess
無影雲手機涉及標籤服務相關許可權,需要將 AliyunTagAdministratorAccess 授權給 RAM 身份(RAM 使用者、RAM 使用者組和 RAM 角色),使RAM使用者可以管理標籤服務(TAG)和所有阿里雲產品標籤的許可權。如果未添加該權限原則,RAM使用者將無法建立資源。