首页 > 电脑常识 > 运维

账号访问控制RAM

admin 运维 2021-05-25 09:23:52 阿里云 云计算 云安全 linux 运维 
后台-系统设置-扩展变量-手机广告位-内容正文底部

账号访问控制

本文介绍了如何使用访问控制RAM(Resource Access Management)在账号级别上控制对云服务器ECS资源的访问,具体通过创建RAM用户(组)并授予特定权限策略实现。
背景信息
访问控制RAM是阿里云提供的资源访问控制服务。
访问控制RAM的典型场景:
用户:
如果您购买了多台云服务器ECS实例,您的组织里有多个用户(如员工、系统或应用程序)需要使用这些实例,您可以创建一个策略允许部分用户使用这些实例。避免了将同一个AccessKey泄露给多人的风险。
用户组:
您可以创建多个用户组,并授予不同权限策略,起到批量管理的效果。例如:

    为了加强网络安全控制,您可以给某个用户组授权一个权限策略,该策略可以规定:如果用户的IP地址不是来自企业网络,则拒绝此类用户请求访问相关ECS资源。

    您可以创建以下两个用户组管理不同工作职责的人员,如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以将其从Developers用户组移到SysAdmins用户组。

            SysAdmins:该用户组需要创建和管理的权限。您可以给SysAdmins组授予一个权限策略,该策略授予用户组成员执行所有ECS操作的权限,包括ECS实例、镜像、快照和安全组等。
            
             Developers:该用户组需要使用实例的权限。您可以给Developers组授予一个权限策略,该策略授予用户组成员调用DescribeInstances、StartInstance、StopInstance、RunInstance和DeleteInstance等权限。

权限策略
在这里插入图片描述
操作步骤
步骤一:创建RAM用户
1.在左侧导航栏的人员管理菜单下,单击用户。
2.单击新建用户。
3.输入登录名称和显示名称。
4.在访问方式区域下,选择控制台密码登录或编程访问。

         控制台密码登录:完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
         编程访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。

5.单击确认。
在这里插入图片描述
(可选)步骤二:创建自定义权限策略
除了使用阿里云提供的系统权限,您还可以按以下步骤在访问控制RAM控制台创建一个自定义权限策略:

1.在左侧导航栏的权限管理菜单下,单击权限策略管理。
2.单击新建权限策略。
3.填写策略名称和备注。
4.配置模式选择可视化配置或脚本配置。

            可视化配置:单击添加授权语句,根据界面提示,对权限效力、操作名称和资源等进行配置。

在这里插入图片描述

                         脚本配置:请参考权限策略语法和结构编辑策略内容。

在这里插入图片描述
脚本配置策略示例一:允许RAM用户创建按量付费实例。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeImages", 
                  "vpc:DescribeVpcs", 
                  "vpc:DescribeVSwitches", 
                  "ecs:DescribeSecurityGroups", 
                  "ecs:DescribeKeyPairs",
                  "ecs:DescribeTags", 
                  "ecs:RunInstances"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

脚本配置策略示例二:允许RAM用户创建包年包月实例。其中bss相关API主要用于查看并支付包年包月订单,其对应的系统策略为AliyunBSSOrderAccess。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeImages", 
                  "vpc:DescribeVpcs", 
                  "vpc:DescribeVSwitches", 
                  "ecs:DescribeSecurityGroups", 
                  "ecs:DescribeKeyPairs",
                  "ecs:DescribeTags", 
                  "ecs:RunInstances",
                  "bss:DescribeOrderList",
                  "bss:DescribeOrderDetail",
                  "bss:PayOrder",
                  "bss:CancelOrder"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

脚本配置策略示例三:允许RAM用户创建了ECS实例后查询实例和块存储信息。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeInstances", 
                    "ecs:DescribeDisks"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

5.单击确定。
步骤三:授权RAM用户
按以下步骤在访问控制RAM控制台创授权RAM用户相关权限:

1.在左侧导航栏的人员管理菜单下,单击用户。
2.在用户登录名称/显示名称列表下,找到目标RAM用户。
3.单击添加权限,被授权主体会自动填入。
4.在左侧权限策略名称列表下,单击需要授予RAM用户的权限策略。
5.单击确定。
6.单击完成。

在这里插入图片描述

阿里云官方文档

文章来源:https://blog.csdn.net/qq_43647037/article/details/117133823

后台-系统设置-扩展变量-手机广告位-内容正文底部
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:https://www.jcdi.cn/fwq1/30695.html

留言与评论(共有 0 条评论)
   
验证码:
后台-系统设置-扩展变量-手机广告位-评论底部广告位

教程弟

https://www.jcdi.cn/

统计代码 | 京ICP1234567-2号

Powered By 教程弟 教程弟

使用手机软件扫描微信二维码