如果您需要通过RAM身份(RAM用户和RAM角色)管理资源组,您需要为其授予对应的权限策略。本文以RAM用户为例。
概述
所需的权限策略分为以下三类。如果您需要RAM用户同时具备管理资源组、查看资源组内的资源、管理资源组范围的授权的权限,则需要同时授予这三类权限策略。否则,请遵循最小授权原则,仅授予RAM用户所需的某一类权限即可,确保访问的安全性。
管理资源组:允许RAM用户对资源组本身执行操作,例如:创建、删除、修改、查看资源组等。
查看资源组内的资源:允许RAM用户在资源组详情页的资源管理页签查看资源组内的资源。
管理资源组范围的授权:允许RAM用户在资源组详情页的权限管理页签管理RAM授权,例如:查看、新增和解除资源组范围的授权等。
管理资源组
资源组管理权限
如果您希望RAM用户拥有资源组的管理权限,您可以按需授予以下权限。该权限允许对资源组进行全部读写操作,例如:创建、删除、修改、查看资源组等。适用于资源组管理员。
Action中包含ram:TagResources、ram:UntagResources、ram:ListTagResources,被授权的RAM身份可以对资源组、RAM用户和RAM角色等资源类型进行绑定标签、解绑标签和查看标签操作,请谨慎授权。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:*ResourceGroup*",
"ram:*AssociatedTransfer*",
"ram:LookupResourceGroupEvents",
"resourcemanager:*ResourceGroup*",
"resourcemanager:*AutoGrouping*",
"ram:TagResources",
"ram:UntagResources",
"ram:ListTagResources"
],
"Resource": "*"
}
]
}资源组只读权限
如果您只希望RAM用户拥有资源组的只读操作权限,您可以按需授予以下权限。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:GetResourceGroup*",
"ram:ListResourceGroup*",
"ram:ListAssociatedTransferSetting",
"ram:LookupResourceGroupEvents",
"resourcemanager:GetResourceGroup*",
"resourcemanager:ListResourceGroup*",
"resourcemanager:GetAutoGrouping*",
"resourcemanager:ListAutoGrouping*",
"ram:ListTagResources"
],
"Resource": "*"
}
]
}查看资源组内的资源
如果您希望RAM用户在资源组详情页的资源管理页签查看资源组内的资源,则需要额外为RAM用户授予目标资源的只读权限。
示例1:您希望RAM用户只能查看资源组(ProjectA)中的VPC资源,可以授予资源组(ProjectA)范围内的AliyunVPCReadOnlyAccess权限。
示例2:您希望RAM用户可以查看当前账号下所有资源组中的全部资源,可以授予账号级别范围的系统权限策略ReadOnlyAccess。
管理资源组范围的授权
如果您希望RAM用户在资源组详情页的权限管理页签管理RAM授权,例如:查看、新增和解除资源组范围的授权等,您可以按需授予以下权限。适用于RAM权限管理员。
Action中包含ram:AttachPolicy、ram:DetachPolicy、ram:ListPolicyAttachments,Resource指定为*时,被授权的RAM身份可以查看、解除、授予任意RAM身份的任意资源组范围或账号范围的权限。此类操作属于高危操作,请务必谨慎授权。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:AttachPolicy",
"ram:DetachPolicy",
"ram:ListPolicyAttachments",
"ram:ListPolicies",
"ram:ListUsers",
"ram:ListGroups",
"ram:ListRoles"
],
"Resource": "*"
}
]
}