如果您需要通过RAM用户授予、更换、收回实例RAM角色,您需要通过阿里云账号授权RAM用户允许使用实例RAM角色。本文操作仅适用于阿里云账号。
背景信息
当您授权RAM用户使用实例RAM角色时,您必须授权RAM用户对该实例RAM角色的PassRole权限。其中,PassRole决定该RAM用户能否直接执行角色策略赋予的权限。
操作步骤
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在用户页面,单击目标RAM用户操作列的添加权限。
- 在添加权限面板,为RAM用户添加权限。
- 选择授权应用范围。
- 整个云账号:权限在当前阿里云账号内生效。
- 指定资源组:权限在指定的资源组内生效。
说明 指定资源组授权生效的前提是该云服务已支持资源组。
更多信息,请参见支持资源组的云服务。
- 输入授权主体。
授权主体即需要添加权限的RAM用户。
- 在选择权限区域,单击新建权限策略。
- 选择脚本编辑,新建自定义权限策略。
自定义策略如下所示,其中,
[ECS RAM Action]表示可授权RAM用户的权限,更多取值请参见
鉴权规则。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs: [ECS RAM Action]",
"ecs: CreateInstance",
"ecs: AttachInstanceRamRole",
"ecs: DetachInstanceRAMRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ram:PassRole",
"Resource": "*"
}
]
}
- 返回添加权限面板,在选择权限区域单击自定义策略。
- 在左侧权限策略名称列表下,单击需要授予RAM用户的自定义权限策略。
说明 在右侧区域框,选择某条策略并单击×,可撤销该策略。
- 单击确定。
- 单击完成。