如果您需要通过RAM用户授予、更换、收回实例RAM角色,您需要通过阿里云账号授权RAM用户允许使用实例RAM角色。本文操作仅适用于阿里云账号。

背景信息

当您授权RAM用户使用实例RAM角色时,您必须授权RAM用户对该实例RAM角色的PassRole权限。其中,PassRole决定该RAM用户能否直接执行角色策略赋予的权限。

操作步骤

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,为RAM用户添加权限。
    1. 选择授权应用范围。
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务
    2. 输入授权主体。
      授权主体即需要添加权限的RAM用户。
    3. 选择权限区域,单击新建权限策略
    4. 选择脚本编辑,新建自定义权限策略。
      自定义策略如下所示,其中,[ECS RAM Action]表示可授权RAM用户的权限,更多取值请参见鉴权规则
      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "ecs: [ECS RAM Action]",
                      "ecs: CreateInstance",
                      "ecs: AttachInstanceRamRole",
                      "ecs: DetachInstanceRAMRole"
                  ],
                  "Resource": "*"
              },
              {
                  "Effect": "Allow",
                  "Action": "ram:PassRole",
                  "Resource": "*"
              }
          ]
      }
  5. 返回添加权限面板,在选择权限区域单击自定义策略
  6. 在左侧权限策略名称列表下,单击需要授予RAM用户的自定义权限策略。
    说明 在右侧区域框,选择某条策略并单击×,可撤销该策略。
  7. 单击确定
  8. 单击完成