全部產品
Search

搜尋本產品

    Elastic Desktop Service:通過資源鑒權實現雲電腦精細化管理

    文件中心

    Elastic Desktop Service:通過資源鑒權實現雲電腦精細化管理

    更新時間:Aug 21, 2024

    在協同使用資源的情境下,根據實際的職責許可權,您可以為RAM使用者授予不同的許可權實現分權管理,從而提高管理效率,降低資訊泄露風險。本文介紹如何通過資源鑒權控制RAM使用者的許可權,使RAM使用者可以對不同的雲電腦資源有不同的訪問和操作許可權。

    前提條件

    已建立RAM使用者。關於如何建立RAM使用者,請參見建立RAM使用者

    背景資訊

    • 阿里雲的使用者權限以權限原則為管理主體,您可以根據不同職責(角色)配置RAM相關權限原則。在權限原則設計中您可以自訂資源維度策略,然後將一個或多個權限原則授予RAM使用者或使用者組。關於權限原則的詳細資料,請參見權限原則概覽

    • 存取控制支援操作層級的授權粒度;而資源層級的鑒權,可以讓您更靈活地管理雲電腦資源。關於存取控制的詳細資料,請參見什麼是存取控制

    使用限制

    僅支援以下地區:

    地區

    備忘

    華東1(杭州)

    cn-hangzhou

    華東2(上海)

    cn-shanghai

    華南1(深圳)

    cn-shenzhen

    華北2(北京)

    cn-beijing

    新加坡

    ap-southeast-1

    日本(東京)

    ap-northeast-1

    菲律賓(馬尼拉)

    ap-southeast-6

    應用情境樣本

    本文以下列情境為例,說明如何?資源鑒權。

    情境描述

    許可權說明

    情境1:先建立雲電腦,然後設定對應的資源鑒權策略。例如:建立2台雲電腦

    • 雲電腦1:雲電腦名稱為desktop1。

    • 雲電腦2:雲電腦名稱為desktop2。

    只允許操作雲電腦1(desktop1)的部分資源,不允許操作雲電腦2(desktop2)的任何資源。

    情境2:先設定對應的資源鑒權策略,再建立雲電腦。

    只允許在某個地區(例如杭州)建立雲電腦,不允許在其他地區(例如上海)建立雲電腦。

    情境一:先建立雲電腦再設定對應的資源鑒權策略

    1. 建立2台雲電腦。具體操作,請參見建立雲電腦

      您可以將2台雲電腦分別命名為desktop1和desktop2。

    2. 建立自訂權限原則。具體操作,請參見建立自訂權限原則

      本步驟中設計的自訂權限原則允許您在無影雲電腦控制台或者調用API對雲電腦desktop1進行查看、修改和刪除等操作,不允許對雲電腦2執行相應操作。

      權限原則樣本如下:

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ecd:*",
      "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-akk6qnr7cc9yq****"
    },
    {
      "Effect": "Deny",
      "Action": "ecd:*",
      "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-3d3y5w4vd56a8****"
    },
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": [
        "acs:ecd:*:*:officesite/*",
        "acs:ecd:*:*:ecdpolicy/*",
        "acs:ecd:*:*:ecdimage/*",
        "acs:ecd:*:*:ecdbundle/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecd:DescribeRegions"
      ],
      "Resource": "*"
    }
  ]
}

    3. 將自訂權限原則授予給您希望控制訪問的RAM使用者。具體操作,請參見為RAM使用者授權

    4. 無影雲電腦控制台或者調用API對desktop1和desktop2進行查看、修改和刪除操作。

      您可以對雲電腦desktop1進行正常的查看、修改和刪除等操作,而無法對雲電腦desktop2執行相關操作,且彈出如下提示頁面。此時說明資源鑒權已生效。無許可權提示框

    情境二:先設定對應的資源鑒權策略再建立雲電腦

    1. 登入RAM控制台

    2. 建立自訂權限原則。具體操作,請參見建立自訂權限原則

      本步驟中設計的自訂權限原則允許您在上海地區管理雲電腦,即您在無影雲電腦控制台或者調用API在上海地區建立、查看或者刪除雲電腦,而在杭州地區無法執行相關操作。

      權限原則設計如下:

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ecd:*",
            "Resource": "acs:ecd:cn-shanghai:128985087662****:*"
        },
        {
            "Effect": "Deny",
            "Action": "ecd:*",
            "Resource": "acs:ess:cn-hangzhou:128985087662****:*"
        },
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": [
                "acs:ecd:*:*:officesite/*",
                "acs:ecd:*:*:ecdpolicy/*",
                "acs:ecd:*:*:ecdimage/*",
                "acs:ecd:*:*:ecdbundle/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecd:DescribeRegions"
            ],
            "Resource": "*"
        }
    ]
}

    3. 將自訂權限原則授予給您希望控制訪問的RAM使用者。具體操作,請參見為RAM使用者授權

    4. 通過無影雲電腦控制台或者調用API建立雲電腦。

      您可以在上海地區建立、查看或者刪除雲電腦,而在杭州地區無法執行相關操作,且彈出如下提示頁面。此時說明資源鑒權已生效。無許可權提示圖片