本文介绍了如何使用访问控制RAM(Resource Access Management)在账号级别上控制对云服务器ECS资源的访问,具体通过创建RAM用户(组)并授予特定权限策略实现。

应用场景

访问控制RAM是阿里云提供的资源访问控制服务。更多详情,请参见什么是RAM。以下列举了访问控制RAM的典型场景:

  • 用户:如果您购买了多台云服务器ECS实例,您的组织里有多个用户(如员工、系统或应用程序)需要使用这些实例,您可以创建一个策略允许部分用户使用这些实例。避免了将同一个AccessKey泄露给多人的风险。
  • 用户组:您可以创建多个用户组,并授予不同权限策略,起到批量管理的效果。例如:
    • 为了加强网络安全控制,您可以给某个用户组授权一个权限策略,该策略可以规定:如果用户的IP地址不是来自企业网络,则拒绝此类用户请求访问相关ECS资源。
    • 您可以创建以下两个用户组管理不同工作职责的人员,如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以将其从Developpers用户组移到SysAdmins用户组。
      • SysAdmins:该用户组需要创建和管理的权限。您可以给SysAdmins组授予一个权限策略,该策略授予用户组成员执行所有ECS操作的权限,包括ECS实例、镜像、快照和安全组等。
      • Developers:该用户组需要使用实例的权限。您可以给Developers组授予一个权限策略,该策略授予用户组成员调用DescribeInstances、StartInstance、StopInstance、RunInstance和DeleteInstance等权限。

权限策略

权限策略分为 系统策略自定义策略
  • 系统策略:阿里云提供多种具有不同管理目的的默认权限策略。云服务器ECS经常使用的系统策略有:
    • AliyunECSReadOnlyAccess:只读访问云服务器ECS的权限。
    • AliyunECSFullAccess:云服务器ECS的管理员级别权限。
    • AliyunECSImageImportDefaultRole:导入自定义镜像的权限。
    • AliyunECSImageExportDefaultRole:导出自定义镜像的权限。
    • AliyunECSNetworkInterfaceManagementAccess:管理弹性网卡的权限。
  • 自定义策略:需要您精准地设计权限策略,适用于熟悉阿里云各种云服务API以及具有精细化控制需求的用户。如下文步骤二中创建的createEcs策略。

步骤一:创建RAM用户

按以下步骤在访问控制RAM控制台创建一个RAM用户:

  1. 登录RAM控制台
  2. 在左侧导航栏,单击人员管理 > 用户
  3. 单击新建用户,参见 访问控制文档 用户完成创建RAM用户。

(可选)步骤二:创建自定义权限策略

按以下步骤在访问控制RAM控制台创建一个自定义权限策略:

  1. 在左侧导航栏,单击权限管理 > 权限策略管理
  2. 单击新建权限策略
  3. 填写策略名称备注,如名称设置为:createEcs,备注设置为:创建资源权限。
  4. 单击脚本配置
    说明 您也可以选择 可视化配置,可视化模式中您无需参照鉴权列表即可完策略配置。
  5. 根据JSON模板文件填写策略内容

    其中的actionResource参数取值请参见鉴权列表,其他参数取值请参见 访问控制文档 Policy基本元素

    • 策略示例一:允许RAM用户创建按量付费实例。
      {
          "Statement": [
              {
                  "Effect": "Allow",
          	    "Action": [
            		      "ecs:DescribeImages", 
          		      "vpc:DescribeVpcs", 
          		      "vpc:DescribeVSwitches", 
          		      "ecs:DescribeSecurityGroups", 
          		      "ecs:DescribeKeyPairs",
          		      "ecs:DescribeTags", 
          		      "ecs:RunInstances"
                ],
                  "Resource": ""
              }
          ],
          "Version": "1"
      }
    • 策略示例二:允许RAM用户创建预付费实例。其中bss相关API主要用于查看并支付预付费订单,其对应的系统策略为AliyunBSSOrderAccess
      {
          "Statement": [
              {
                  "Effect": "Allow",
          	    "Action": [
            		      "ecs:DescribeImages", 
          		      "vpc:DescribeVpcs", 
          		      "vpc:DescribeVSwitches", 
          		      "ecs:DescribeSecurityGroups", 
          		      "ecs:DescribeKeyPairs",
          		      "ecs:DescribeTags", 
          		      "ecs:RunInstances",
             	   	      "bss:DescribeOrderList",
           		      "bss:DescribeOrderDetail",
           		      "bss:PayOrder",
          		      "bss:CancelOrder"
                ],
                  "Resource": ""
              }
          ],
          "Version": "1"
      }
    • 策略示例三:允许RAM用户创建了ECS实例后查询实例和磁盘信息。
      {
          "Statement": [
              {
                  "Effect": "Allow",
          	    "Action": [
            		      "ecs:DescribeInstances", 
          		      "ecs:DescribeDisks"
                ],
                  "Resource": ""
              }
          ],
          "Version": "1"
      }
  6. 单击确定完成创建。

步骤三:授权RAM用户

按以下步骤在访问控制RAM控制台创授权RAM用户相关权限:

  1. 在左侧导航栏,单击人员管理 > 用户
  2. 找到步骤一中创建的RAM用户,在操作列中,选择添加权限
  3. 选择权限处,选择一个或多个系统权限策略或者自定义权限策略。
  4. 单击确定完成授权。