在协同使用资源的场景下,根据实际的职责权限情况,您可以创建多个RAM用户并为其授予不同的权限,实现不同RAM用户可以分权管理不同的资源,从而提高管理效率,降低信息泄露风险。本文介绍如何创建RAM用户并授予特定权限策略,从而控制对云服务器ECS资源的访问。

操作步骤

  1. 创建RAM用户。
    具体操作,请参见创建RAM用户
  2. 可选:创建自定义策略。
    阿里云提供了访问云服务器ECS资源的系统策略,更多信息,请参见系统策略示例。如果系统策略不能满足需求,您还可以创建自定义策略,具体操作,请参见创建自定义策略
    创建自定义策略时,如果配置模式选择脚本配置Statement结构下的ActionResource参数取值说明,请参见鉴权列表。更多参数取值说明,请参见权限策略语法和结构
    • 脚本配置策略示例一:允许RAM用户创建按量付费实例。 
      {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeImages", 
                  "vpc:DescribeVpcs", 
                  "vpc:DescribeVSwitches", 
                  "ecs:DescribeSecurityGroups", 
                  "ecs:DescribeKeyPairs",
                  "ecs:DescribeTags", 
                  "ecs:RunInstances"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}
    • 脚本配置策略示例二:允许RAM用户创建包年包月实例。其中bss相关API主要用于查看并支付包年包月订单,其对应的系统策略为AliyunBSSOrderAccess
      {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeImages", 
                  "vpc:DescribeVpcs", 
                  "vpc:DescribeVSwitches", 
                  "ecs:DescribeSecurityGroups", 
                  "ecs:DescribeKeyPairs",
                  "ecs:DescribeTags", 
                  "ecs:RunInstances",
                  "bss:DescribeOrderList",
                  "bss:DescribeOrderDetail",
                  "bss:PayOrder",
                  "bss:CancelOrder"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}
    • 脚本配置策略示例三:允许RAM用户创建了ECS实例后查询实例和块存储信息。 
      {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeInstances", 
                    "ecs:DescribeDisks"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}
  3. 授予RAM用户访问云服务器ECS资源的权限策略。
    具体操作,请参见为RAM用户授权

后续步骤

完成授权后,即可以使用RAM用户登录控制台操作目标资源。具体操作,请参见RAM用户登录控制台