通过资源组授权特定实例

背景信息

阿里云Elasticsearch实例默认创建在默认资源组下，以RAM用户身份对特定实例进行自定义权限策略授权后，阿里云Elasticsearch控制台依旧会显示全量实例。如果您想对特定RAM用户仅显示控制台的特定资源，那么您可以通过资源组管理方式进行授权配置。

步骤一：为RAM用户添加整个云账号的自定义策略权限

1. 使用阿里云账号登录RAM控制台。
2. 配置新建自定义权限策略。
   1. 在左侧导航栏，选择权限管理 > 权限策略管理。
   2. 在权限策略管理页面，单击创建权限策略。
   3. 输入策略名称。
   4. 在配置模式中，选择脚本配置。
      
   5. 配置策略内容，详细信息请参见如下示例。

      {
          "Statement": [
              {
                  "Action": [
                      "elasticsearch:*"
                  ],
                  "Effect": "Allow",
                  "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/<yourInstanceId>"
              },
              {
                  "Action": [
                      "elasticsearch:ListCollectors"
                  ],
                  "Effect": "Allow",
                  "Resource": "acs:elasticsearch:*:<yourAccountId>:collectors/*"
              },
              {
                  "Action": [
                      "elasticsearch:ListInstance",
                      "elasticsearch:ListSnapshotReposByInstanceId"
                  ],
                  "Effect": "Allow",
                  "Resource": "acs:elasticsearch:*:<yourAccountId>:instances/*"
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "cms:ListAlarm",
                      "cms:DescribeActiveMetricRuleList",
                      "cms:QueryMetricList"
                  ],
                  "Resource": "*"
              },
              {
                  "Action": [
                      "elasticsearch:ListTags"
                  ],
                  "Effect": "Allow",
                  "Resource": "acs:elasticsearch:*:*:tags/*"
              },
              {
                  "Action": [
                      "elasticsearch:GetEmonProjectList"
                  ],
                  "Effect": "Allow",
                  "Resource": "acs:elasticsearch:*:*:emonProjects/*"
              },
              {
                  "Action": [
                      "elasticsearch:getEmonUserConfig"
                  ],
                  "Effect": "Allow",
                  "Resource": "acs:elasticsearch:*:*:emonUserConfig/*"
              },
             {
                "Action": "ims:*",
                "Effect": "Allow",
                "Resource": "acs:ims::<yourAccountId>:application/*"
             }
          ],
          "Version": "1"
      }

      使用示例时，您需要将替换以下变量值。

      变量	说明
      <yourAccountId>	替换为您的阿里云账号ID。阿里云账号ID的获取方法：鼠标移至控制台右上角的用户头像上，即可查看到账号ID。
      <yourInstanceId>	替换为待授权的目标实例ID。获取方式，请参见查看实例的基本信息。

      因为阿里云Elasticsearch控制台的实例管理页面，集成调用了Beats采集器、阿里云高级监控报警服务和标签Tags等外部依赖接口，所以，当控制台仅对特定资源组的实例进行管理时，需要配置整个阿里云账号下的自定义策略，才能保证控制台页面通过RAM用户权限的校验。

      说明 配置好访问特定实例的RAM权限后，您还可以通过Elasticsearch和Logstsah的接口直接访问特定的实例。直接访问特性实例的方式分别如下：

      • https://elasticsearch.console.aliyun.com/{regionId}/instances/{instanceId}/base
      • https://elasticsearch.console.aliyun.com/{regionId}/logstashes/{instanceId}/base
   6. 单击确定。
3. 创建RAM用户。
   1. 在左侧导航栏，选择人员管理 > 用户。
   2. 单击创建用户。
   3. 在创建用户页面，输入登录名称和显示名称。
      
   4. 单击确定，即可查看到创建的用户信息。
      
4. 为RAM用户添加整个云账号的自定义策略权限。
   1. 选择创建的目标用户登录名称/显示名称。
   2. 单击操作列下的添加权限。
   3. 在添加权限面板中，自定义策略选择步骤2中创建的自定义策略名称。
      
   4. 单击确定。
   5. 单击完成。
      

步骤二：创建资源组并关联特定资源组的权限策略

1. 登录资源管理控制台。
2. 创建资源组。
   1. 在左侧导航栏，单击资源组。
   2. 单击创建资源组。
      
   3. 在创建资源组面板中，输入资源组标识和资源组名称。
   4. 单击确定。
3. 将默认资源组下的特定实例转出到自定义资源组下。
   1. 单击默认资源组。
   2. 单击资源管理页签。
   3. 选择目标实例ID，单击转出资源。
   4. 在转出资源面板，选择自定义的目标资源组。
   5. 单击确定。
4. 进行授权操作。
   1. 在左侧导航栏，单击资源组。
   2. 找到之前自定义的目标资源组名称，单击操作列下的权限管理。
   3. 单击新增授权。
   4. 在新增授权面板，配置相关信息。
      
   5. 单击确定。
   6. 单击完成。
5. 查看当前用户授权信息。
   1. 单击权限管理页签。
   2. 单击被授权主体名称。
      
   3. 在用户基本信息页面，单击权限管理页签，查看当前用户授权信息。
      

步骤三：以RAM用户身份登录阿里云Elasticsearch控制台

1. 以RAM用户身份登录阿里云Elasticsearch控制台。
2. 在顶部菜单栏，选择地区。
3. 在左侧导航栏，单击Elasticsearch实例。
4. 在顶部菜单栏处，选择之前自定义的目标资源组，即可查看对应的实例信息。