全部產品
Search

搜尋本產品

    OpenSearch:建立RAM使用者並授權

    文件中心

    OpenSearch:建立RAM使用者並授權

    更新時間:Aug 24, 2024

    RAM使用者通過API/SDK以AccessKey進行身份鑒權調用OpenSearch-LLM智能版服務,或者RAM使用者通過控制台使用OpenSearch-LLM智能版服務,需要為RAM使用者進行授權。當您的企業存在多使用者協同訪問服務的情境時,您可以建立多個RAM使用者並按需為其分配最小許可權,避免多使用者共用阿里雲帳號(主帳號)密碼或存取金鑰,從而提高管理效率並降低資訊泄露風險。本文介紹如何建立RAM使用者並為RAM使用者授予操作阿里雲OpenSearch-LLM智能版的許可權,例如查看執行個體列表、查看執行個體詳情等。

    前提條件

    您已為阿里雲帳號(主帳號)建立了至少一個RAM使用者。具體操作,請參見建立RAM使用者

    操作步驟

    1. 使用管理員賬戶登入RAM控制台

      RAM支援以下兩種權限原則:

      • 阿里雲管理的系統策略:統一由阿里雲建立,使用者只能使用不能修改,策略的版本更新由阿里雲維護。

      • 客戶管理的自訂策略:使用者可以自主建立、更新和刪除,策略的版本更新由客戶自己維護。

    2. (可選)建立自訂權限原則。

      如果阿里雲提供的系統權限原則不能滿足您的要求,您可以參考應用授權規則列表建立自訂權限原則實現最小授權,以實現許可權的精細化管控。具體操作,請參見建立自訂權限原則

      最小常見組合許可權樣本

      使用RAM帳號登入訪問OpenSearch-LLM智能問答版控制台,最小常見組合許可權包括應用列表許可權、應用詳情許可權等,以下給出參考樣本。

      樣本一:執行個體列表許可權

      RAM帳號登入後,需要查看控制台執行個體列表,您可以設定如下權限原則。

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "opensearch:ListAppGroup",
      "Resource": "acs:opensearch:*:*:app-groups/*"
    }
  ]
}

      樣本二:執行個體詳情許可權

      RAM帳號登入後,需要查看某個執行個體的應用詳情,您可以設定如下權限原則來查看執行個體名稱為app_schema_demo的執行個體詳情:

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "opensearch:ListAppGroup",
      "Resource": "acs:opensearch:*:*:app-groups/*"
    },
    {
      "Effect": "Allow",
      "Action": ["opensearch:DescribeAppGroup",
                  "opensearch:ListApp"],
      "Resource": "acs:opensearch:*:*:app-groups/app_schema_demo"
    }
  ]
}

    3. 為RAM使用者授權。

      系統策略或已建立的自訂權限原則授權給RAM使用者,使其擁有相關的資源訪問或操作許可權。具體操作,請參見為RAM使用者授權。對RAM使用者佈建或更新許可權配置後,延遲5分鐘後生效。

    4. 完成授權後,RAM使用者即可登入控制台操作OpenSearch。

      具體操作,請參見RAM使用者登入阿里雲控制台

    相關文檔

    • 您可以查看RAM使用者的個人許可權和查看RAM使用者繼承使用者組的許可權。具體操作,請參見查看RAM使用者的許可權

    • 當RAM使用者不再需要某些許可權或離開組織時,可以將這些許可權移除。具體操作,請參見為RAM使用者移除許可權

    • 您可以查看RAM使用者支援的多因素認證方式、使用說明和使用限制說明。更多資訊,請參見什麼是MFA