本文為您介紹如何使用阿里雲RAM和資源群組對ECS執行個體進行分組並授權,限制RAM使用者只能查看和管理被授權ECS執行個體的需求。
操作步驟
以下將提供一個樣本,僅允許RAM使用者(Alice)查看和管理ECS執行個體(i-001),無權查看和管理其他ECS執行個體。您可以將ECS執行個體加入到資源群組,利用資源群組進行分組授權。
在以下整個授權過程中,ECS執行個體可以正常工作,不會產生任何影響。
以下操作使用帳號管理員完成。
在RAM控制台,建立RAM使用者(Alice)。
具體操作,請參見建立RAM使用者。
在資源管理主控台,建立資源群組(ECS-Admin)。
具體操作,請參見建立資源群組。
在資源管理主控台,將ECS執行個體(i-001)加入資源群組(ECS-Admin)。
在RAM控制台,為RAM使用者(Alice)授權。
其中,授權範圍選擇資源群組(ECS-Admin),授權主體選擇RAM使用者(Alice),權限原則選擇系統策略(AliyunECSFullAccess)。具體操作,請參見為RAM使用者授權。
說明在實際業務環境中,建議您遵循最小化授權原則,通過建立自訂權限原則,授予RAM使用者剛剛好的許可權即可,避免許可權過大帶來的安全風險。
結果驗證
使用RAM使用者(Alice)登入ECS控制台。
具體操作,請參見RAM使用者登入阿里雲控制台。
在左側導覽列,選擇。
在頂部功能表列左上方處,選擇地區。
在頂部功能表列左上方處的資源群組下拉式清單,選擇資源群組(ECS-Admin)。
重要只有RAM使用者選擇了對應資源群組後,RAM使用者才能看到資源群組內的ECS執行個體。否則,RAM使用者無法看到任何ECS執行個體。
在執行個體列表中,查看和管理對應的ECS執行個體(i-001)。
相關文檔
ECS執行個體的關聯資源,可以手動轉移到對應資源群組,也可以使用資源管理提供的關聯資源轉組功能,進行關聯資源的自動轉組。目前僅支援雲端硬碟、網卡和EIP跟隨ECS執行個體自動轉組。具體操作,請參見關聯資源跟隨轉組。