在协同使用资源的场景下,根据实际的职责权限,您可以为RAM用户授予不同的权限实现分权管理,从而提高管理效率,降低信息泄露风险。本文介绍如何通过资源鉴权控制RAM用户的权限,使RAM用户可以对不同的云电脑资源有不同的访问和操作权限。
前提条件
已创建RAM用户。关于如何创建RAM用户,请参见创建RAM用户。
背景信息
阿里云的用户权限以权限策略为管理主体,您可以根据不同职责(角色)配置RAM相关权限策略。在权限策略设计中您可以自定义资源维度的策略,然后将一个或多个权限策略授予RAM用户或用户组。关于权限策略的详细信息,请参见权限策略概览。
访问控制支持操作级别的授权粒度;而资源级别的鉴权,可以让您更灵活地管理云电脑资源。关于访问控制的详细信息,请参见什么是访问控制。
使用限制
仅支持以下地域:
地域 | 备注 |
华东1(杭州) | cn-hangzhou |
华东2(上海) | cn-shanghai |
华南1(深圳) | cn-shenzhen |
华北2(北京) | cn-beijing |
新加坡 | ap-southeast-1 |
日本(东京) | ap-northeast-1 |
菲律宾(马尼拉) | ap-southeast-6 |
应用场景示例
本文以下列场景为例,说明如何实现资源鉴权。
场景描述 | 权限说明 |
场景1:先创建云电脑,然后设置对应的资源鉴权策略。例如:创建2台云电脑
| 只允许操作云电脑1(desktop1)的部分资源,不允许操作云电脑2(desktop2)的任何资源。 |
场景2:先设置对应的资源鉴权策略,再创建云电脑。 | 只允许在某个地域(例如杭州)创建云电脑,不允许在其他地域(例如上海)创建云电脑。 |
场景一:先创建云电脑再设置对应的资源鉴权策略
创建2台云电脑。具体操作,请参见创建云电脑。
您可以将2台云电脑分别命名为desktop1和desktop2。
创建自定义权限策略。具体操作,请参见创建自定义权限策略。
本步骤中设计的自定义权限策略允许您在无影云电脑控制台或者调用API对云电脑desktop1进行查看、修改和删除等操作,不允许对云电脑2执行相应操作。
权限策略示例如下:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-akk6qnr7cc9yq****" }, { "Effect": "Deny", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-3d3y5w4vd56a8****" }, { "Action": "*", "Effect": "Allow", "Resource": [ "acs:ecd:*:*:officesite/*", "acs:ecd:*:*:ecdpolicy/*", "acs:ecd:*:*:ecdimage/*", "acs:ecd:*:*:ecdbundle/*" ] }, { "Effect": "Allow", "Action": [ "ecd:DescribeRegions" ], "Resource": "*" } ] }将自定义权限策略授予给您希望控制访问的RAM用户。具体操作,请参见为RAM用户授权。
在无影云电脑控制台或者调用API对desktop1和desktop2进行查看、修改和删除操作。
您可以对云电脑desktop1进行正常的查看、修改和删除等操作,而无法对云电脑desktop2执行相关操作,且弹出如下提示页面。此时说明资源鉴权已生效。
场景二:先设置对应的资源鉴权策略再创建云电脑
登录RAM控制台。
创建自定义权限策略。具体操作,请参见创建自定义权限策略。
本步骤中设计的自定义权限策略允许您在上海地域管理云电脑,即您在无影云电脑控制台或者调用API在上海地域创建、查看或者删除云电脑,而在杭州地域无法执行相关操作。
权限策略设计如下:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:*" }, { "Effect": "Deny", "Action": "ecd:*", "Resource": "acs:ess:cn-hangzhou:128985087662****:*" }, { "Action": "*", "Effect": "Allow", "Resource": [ "acs:ecd:*:*:officesite/*", "acs:ecd:*:*:ecdpolicy/*", "acs:ecd:*:*:ecdimage/*", "acs:ecd:*:*:ecdbundle/*" ] }, { "Effect": "Allow", "Action": [ "ecd:DescribeRegions" ], "Resource": "*" } ] }将自定义权限策略授予给您希望控制访问的RAM用户。具体操作,请参见为RAM用户授权。
通过无影云电脑控制台或者调用API创建云电脑。
您可以在上海地域创建、查看或者删除云电脑,而在杭州地域无法执行相关操作,且弹出如下提示页面。此时说明资源鉴权已生效。
