在协同使用资源的场景下,根据实际的职责权限情况,您可以创建多个RAM用户并为其授予不同的权限,实现不同RAM用户可以分权管理不同的资源,从而提高管理效率,降低信息泄露风险。本文介绍如何创建RAM用户并授予特定权限策略,从而控制对云服务器ECS资源的访问。
操作步骤
- 创建RAM用户。
具体操作,请参见 创建RAM用户。
- 可选:创建自定义策略。
阿里云提供了访问云服务器ECS资源的系统策略,更多信息,请参见 系统策略示例。如果系统策略不能满足需求,您还可以创建自定义策略,具体操作,请参见 创建自定义策略。创建自定义策略时,如果配置模式选择 脚本配置, Statement结构下的 Action和 Resource参数取值说明,请参见 鉴权列表。更多参数取值说明,请参见 权限策略语法和结构。
- 脚本配置策略示例一:允许RAM用户创建按量付费实例。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeImages", "vpc:DescribeVpcs", "vpc:DescribeVSwitches", "ecs:DescribeSecurityGroups", "ecs:DescribeKeyPairs", "ecs:DescribeTags", "ecs:RunInstances" ], "Resource": "*" } ], "Version": "1" } - 脚本配置策略示例二:允许RAM用户创建包年包月实例。其中bss相关API主要用于查看并支付包年包月订单,其对应的系统策略为
AliyunBSSOrderAccess。{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeImages", "vpc:DescribeVpcs", "vpc:DescribeVSwitches", "ecs:DescribeSecurityGroups", "ecs:DescribeKeyPairs", "ecs:DescribeTags", "ecs:RunInstances", "bss:DescribeOrderList", "bss:DescribeOrderDetail", "bss:PayOrder", "bss:CancelOrder" ], "Resource": "*" } ], "Version": "1" } - 脚本配置策略示例三:允许RAM用户创建了ECS实例后查询实例和块存储信息。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeDisks" ], "Resource": "*" } ], "Version": "1" }
- 脚本配置策略示例一:允许RAM用户创建按量付费实例。
- 授予RAM用户访问云服务器ECS资源的权限策略。
具体操作,请参见 为RAM用户授权。
后续步骤
完成授权后,即可以使用RAM用户登录控制台操作目标资源。具体操作,请参见RAM用户登录控制台。