如果您需要通過RAM身份(RAM使用者和RAM角色)管理資源群組,您需要為其授予對應的權限原則。本文以RAM使用者為例。
概述
所需的權限原則分為以下三類。如果您需要RAM使用者同時具備管理資源群組、查看資源群組內的資源、管理資源群組範圍的授權的許可權,則需要同時授予這三類權限原則。否則,請遵循最小授權原則,僅授予RAM使用者所需的某一類許可權即可,確保訪問的安全性。
管理資源群組:允許RAM使用者對資源群組本身執行操作,例如:建立、刪除、修改、查看資源群組等。
查看資源群組內的資源:允許RAM使用者在資源群組詳情頁的資源管理頁簽查看資源群組內的資源。
管理資源群組範圍的授權:允許RAM使用者在資源群組詳情頁的許可權管理頁簽管理RAM授權,例如:查看、新增和解除資源群組範圍的授權等。
管理資源群組
資源群組系統管理權限
如果您希望RAM使用者擁有資源群組的系統管理權限,您可以按需授予以下許可權。該許可權允許對資源群組進行全部讀寫操作,例如:建立、刪除、修改、查看資源群組等。適用於資源群組管理員。
Action中包含ram:TagResources、ram:UntagResources、ram:ListTagResources,被授權的RAM身份可以對資源群組、RAM使用者和RAM角色等資源類型進行綁定標籤、解除綁定標籤和查看標籤操作,請謹慎授權。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:*ResourceGroup*",
"ram:*AssociatedTransfer*",
"ram:LookupResourceGroupEvents",
"resourcemanager:*ResourceGroup*",
"resourcemanager:*AutoGrouping*",
"ram:TagResources",
"ram:UntagResources",
"ram:ListTagResources"
],
"Resource": "*"
}
]
}資源群組唯讀許可權
如果您只希望RAM使用者擁有資源群組的唯讀操作許可權,您可以按需授予以下許可權。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:GetResourceGroup*",
"ram:ListResourceGroup*",
"ram:ListAssociatedTransferSetting",
"ram:LookupResourceGroupEvents",
"resourcemanager:GetResourceGroup*",
"resourcemanager:ListResourceGroup*",
"resourcemanager:GetAutoGrouping*",
"resourcemanager:ListAutoGrouping*",
"ram:ListTagResources"
],
"Resource": "*"
}
]
}查看資源群組內的資源
如果您希望RAM使用者在資源群組詳情頁的資源管理頁簽查看資源群組內的資源,則需要額外為RAM使用者授予目標資源的唯讀許可權。
樣本1:您希望RAM使用者只能查看資源群組(ProjectA)中的VPC資源,可以授予資源群組(ProjectA)範圍內的AliyunVPCReadOnlyAccess許可權。
樣本2:您希望RAM使用者可以查看當前帳號下所有資源群組中的全部資源,可以授予帳號層級範圍的系統權限原則ReadOnlyAccess。
管理資源群組範圍的授權
如果您希望RAM使用者在資源群組詳情頁的許可權管理頁簽管理RAM授權,例如:查看、新增和解除資源群組範圍的授權等,您可以按需授予以下許可權。適用於RAM許可權管理員。
Action中包含ram:AttachPolicy、ram:DetachPolicy、ram:ListPolicyAttachments,Resource指定為*時,被授權的RAM身份可以查看、解除、授予任意RAM身份的任意資源群組範圍或帳號範圍的許可權。此類操作屬於高危操作,請務必謹慎授權。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:AttachPolicy",
"ram:DetachPolicy",
"ram:ListPolicyAttachments",
"ram:ListPolicies",
"ram:ListUsers",
"ram:ListGroups",
"ram:ListRoles"
],
"Resource": "*"
}
]
}