账号访问控制RAM

账号访问控制

本文介绍了如何使用访问控制RAM(Resource Access Management)在账号级别上控制对云服务器ECS资源的访问,具体通过创建RAM用户(组)并授予特定权限策略实现。
背景网络安全控制,您可以给某个用户组授权一个权限策略,该策略可以规定:如果用户的IP地址不是来自企业网络,则拒绝此类用户请求访问相关ECS资源。 您可以创建以下两个用户组管理不同工作职责的人员,如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以将其从Developers用户组移到SysAdmins用户组。 SysAdmins:该用户组需要创建和管理的权限。您可以给SysAdmins组授予一个权限策略,该策略授予用户组成员执行所有ECS操作的权限,包括ECS实例、镜像、快照和安全组等。 Developers:该用户组需要使用实例的权限。您可以给Developers组授予一个权限策略,该策略授予用户组成员调用DescribeInstances、StartInstance、StopInstance、RunInstance和DeleteInstance等权限。

权限策略
账号访问控制RAM
操作步骤
步骤一:创建RAM用户
1.在左侧导航栏的人员管理菜单下,单击用户。
2.单击新建用户。
3.输入登录名称和显示名称。
4.在访问方式区域下,选择控制台密码登录或编程访问。

         控制台密码登录:完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。          编程访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。 

5.单击确认。
账号访问控制RAM
(可选)步骤二:创建自定义权限策略
除了使用阿里云提供的系统权限,您还可以按以下步骤在访问控制RAM控制台创建一个自定义权限策略:

1.在左侧导航栏的权限管理菜单下,单击权限策略管理。
2.单击新建权限策略。
3.填写策略名称和备注。
4.配置模式选择可视化配置或脚本配置。

            可视化配置:单击添加授权语句,根据界面提示,对权限效力、操作名称和资源等进行配置。 
账号访问控制RAM
                         脚本配置:请参考权限策略语法和结构编辑策略内容。 

账号访问控制RAM
脚本配置策略示例一:允许RAM用户创建按量付费实例。

{     "Statement": [         {             "Effect": "Allow",             "Action": [                     "ecs:DescribeImages",                    "vpc:DescribeVpcs",                    "vpc:DescribeVSwitches",                    "ecs:DescribeSecurityGroups",                    "ecs:DescribeKeyPairs",                   "ecs:DescribeTags",                    "ecs:RunInstances"           ],             "Resource": "*"         }     ],     "Version": "1" } 

脚本配置策略示例二:允许RAM用户创建包年包月实例。其中bss相关API主要用于查看并支付包年包月订单,其对应的系统策略为AliyunBSSOrderAccess。

{     "Statement": [         {             "Effect": "Allow",             "Action": [                     "ecs:DescribeImages",                    "vpc:DescribeVpcs",                    "vpc:DescribeVSwitches",                    "ecs:DescribeSecurityGroups",                    "ecs:DescribeKeyPairs",                   "ecs:DescribeTags",                    "ecs:RunInstances",                   "bss:DescribeOrderList",                   "bss:DescribeOrderDetail",                   "bss:PayOrder",                   "bss:CancelOrder"           ],             "Resource": "*"         }     ],     "Version": "1" } 

脚本配置策略示例三:允许RAM用户创建了ECS实例后查询实例和块存储信息。

{     "Statement": [         {             "Effect": "Allow",             "Action": [                     "ecs:DescribeInstances",                      "ecs:DescribeDisks"           ],             "Resource": "*"         }     ],     "Version": "1" } 

5.单击确定。
步骤三:授权RAM用户
按以下步骤在访问控制RAM控制台创授权RAM用户相关权限:

1.在左侧导航栏的人员管理菜单下,单击用户。 2.在用户登录名称/显示名称列表下,找到目标RAM用户。 3.单击添加权限,被授权主体会自动填入。 4.在左侧权限策略名称列表下,单击需要授予RAM用户的权限策略。 5.单击确定。 6.单击完成。 
账号访问控制RAM

阿里云官方文档

版权声明:玥玥 发表于 2021-05-24 21:51:00。
转载请注明:账号访问控制RAM | 女黑客导航