怎麼通過標籤實現雲電腦管理 - Elastic Desktop Service

無影雲電腦企業版支援通過許可權管理實現對雲電腦分組管理，既可以授予RAM使用者查看或者操作雲電腦的許可權，也可以控制帶有某個標籤的雲電腦的存取權限。本文介紹如何通過標籤控制RAM使用者的存取權限，使不同RAM使用者可以擁有不同的雲電腦的訪問和操作許可權。

背景資訊

標籤可用於標識雲資源，實現資源的分類管理，可以協助您從不同維度對具有相同特徵的雲資源進行分類、搜尋和彙總；存取控制RAM可基於權限原則，系統管理使用者身份，控制雲資源的訪問和操作許可權。標籤和存取控制RAM結合，將標籤作為權限原則的匹配條件，可以實現雲資源精微調權限管理。關於標籤和存取控制的更多資訊，請參見標籤和什麼是存取控制。

基於標籤控制RAM使用者權限（即標籤鑒權）的邏輯如下：

使用限制

無影雲電腦企業版通過標籤實現RAM使用者精細化管理只支援雲電腦管理，使用者管理和資源管理等不支援通過標籤控制存取權限。

僅支援以下地區：

華東1（杭州）
華東2（上海）
華南1（深圳）
華北2（北京）
新加坡
日本（東京）
菲律賓（馬尼拉）

應用情境樣本

本文配置的樣本結合以下情境說明如何基於標籤實現存取權限控制。假設建立一台雲電腦，並為雲電腦綁定標籤owner:tony，其中owner為標籤鍵，tony為標籤值。具體情境如下：

情境一：不允許建立不帶標籤的雲電腦，建立雲電腦時僅當雲電腦綁定標籤owner:tony才可以建立成功。
情境二：只允許操作綁定標籤owner:tony的雲電腦，不允許操作沒有綁定標籤owner:tony的雲電腦。

配置樣本

以下配置將使用阿里雲主帳號建立一個自訂權限原則UseTagCreateECD（規定RAM使用者需要指定標籤owner:tony後方可建立、查看和操作雲電腦），並將自訂權限原則UseTagCreateECD授權給RAM使用者Testuser。

步驟一：建立自訂策略

使用阿里雲主帳號登入RAM控制台。

通過編輯模式建立自訂權限原則。具體操作，請參見通過指令碼編輯模式建立自訂權限原則。

說明

權限原則是一組存取權限的集合。結構包括版本號碼和授權語句列表，每條授權語句包括授權效果（Effect）、操作（Action）、資源（Resource）以及條件（Condition，可選項）。詳細資料，請參見權限原則基本元素和權限原則文法和結構。

在權限原則的Condition中，可以添加標籤的條件以實現精細化的許可權管理。

以下樣本中您可以在Condition欄位中為雲電腦設定多個標籤條件來分組管理雲電腦及其存取權限控制。支援的標籤鑒權條件如下：

標籤鑒權條件

說明

acs:RequestTag

限制在請求中必須傳入特定的標籤。

如果API請求中沒有標籤參數，則不能使用acs:RequestTag，否則會導致鑒權失敗。

acs:ResourceTag

限制指定的資源必須包含特定的標籤。

如果API請求中沒有資源ID參數，則不能使用acs:ResourceTag，否則會導致鑒權失敗。

根據應用情境樣本，基於標籤管控存取權限時設計如下權限原則：

情境1：建立雲電腦時，僅當雲電腦綁定標籤owner:tony才可以建立成功，不允許建立不帶標籤owner:tony的雲電腦。

{
    "Action":"ecd:CreateDesktops",
    "Effect":"Allow",
    "Condition":{
        "StringEquals":{
            "acs:RequestTag/owner":[
                "tony"
            ]
        }
    },
    "Resource":"acs:ecd:*:*:ecddesktop/*"
}

情境2：只允許操作綁定了標籤owner:tony的雲電腦，不允許操作沒有綁定標籤owner:tony的雲電腦。

{
    "Action":"ecd:*",
    "Effect":"Allow",
    "Condition":{
        "StringEquals":{
            "acs:ResourceTag/owner":[
                "tony"
            ]
        }
    },
    "Resource":"acs:ecd:*:*:ecddesktop/*"
}

完整的權限原則展示如下：

{
    "Version": "1",
    "Statement": [
        {
            "Action": "ecd:CreateDesktops",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:RequestTag/owner": [
                        "tony"
                    ]
                }
            },
            "Resource": "acs:ecd:*:*:ecddesktop/*"
        },
        {
            "Action": "ecd:*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/owner": [
                        "tony"
                    ]
                }
            },
            "Resource": "acs:ecd:*:*:ecddesktop/*"
        },
        {
            "Action": [
                "*:List*",
                "*:Describe*",
                "bss:PayOrder"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": [
                "acs:ecd:*:*:officesite/*",
                "acs:ecd:*:*:ecdpolicy/*",
                "acs:ecd:*:*:ecdimage/*",
                "acs:ecd:*:*:ecdbundle/*"
            ]
        }
    ]
}

許可權內容輸入完畢後，在建立權限原則頁面底部單擊確定。

在建立權限原則對話方塊中輸入權限原則名稱，並單擊確定。
例如輸入UseTagCreateECD。

步驟二：將自訂權限原則授權給RAM使用者

在RAM控制台的左側導覽列選擇身份管理 > 使用者。
建立RAM使用者。具體操作，請參見建立RAM使用者。
說明
如果已有RAM使用者，請跳過此步驟。
為RAM使用者授予新建立的自訂權限原則。具體操作，請參見為RAM使用者授權。

步驟三：驗證權限原則是否生效

使用RAM使用者登入無影雲電腦企業版控制台或登入OpenAPI平台。
在無影雲電腦企業版控制台或者調用API對雲電腦進行相應操作，測試權限原則是否生效。
- 建立雲電腦來驗證情境一
  - 綁定標籤owner:tony的雲電腦，可以成功建立該雲電腦。
  - 未綁定標籤owner:tony或者綁定了其他標籤的雲電腦，則會彈出如下對話方塊，提示沒有許可權。
- 釋放雲電腦來驗證情境二
  - 釋放已綁定標籤owner:tony的雲電腦時，則可以釋放該雲電腦。
  - 釋放未綁定標籤owner:tony或綁定了其他標籤的雲電腦時，將會彈出如下對話方塊，提示沒有許可權。

支援標籤鑒權的API介面說明

為指定的RAM使用者授予標籤鑒權的權限原則後，該RAM使用者調用雲電腦的API介面時支援使用標籤鑒權管理雲電腦。詳細資料，請參見API概覽。