云服务器ECS资源绑定标签后,您可以使用标签为资源做分类并控制访问。本文以ECS实例为例,介绍如何为RAM用户授权特定的策略,使该RAM用户能够通过标签控制ECS实例的访问。
前提条件
已使用主账号创建一个RAM用户。具体操作,请参见创建RAM用户。
背景信息
标签是云资源的标识,可以帮助您分类、搜索和聚合具有相同特征的资源,简化资源管理。每个云资源可绑定多个标签。
阿里云用户权限基于策略,可根据用户职责配置RAM策略。在策略中可定义多个标签,然后将策略附加到RAM用户或用户组。使用自定义策略和标签可控制RAM用户对资源的访问。
ECS和其他云产品支持为多个资源绑定标签。默认情况下,资源列表显示本地域中所有资源,若需为RAM用户设置资源查看范围,可通过自定义策略和标签进行控制。
步骤一:主账号创建与授权RAM策略
本步骤将使用主账号新建一个自定义策略UseTagAccessRes(规定了RAM用户需要指定标签owner:zhangsan和environment: production后方可访问ECS资源),并将自定义策略UseTagAccessRes授权给RAM用户userTest。
-
使用主账号登录RAM控制台。
-
创建自定义策略UseTagAccessRes。具体操作,请参见创建自定义权限策略。
如下所示,您可以在策略主体中为云资源设置多个标签。
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:*", "Resource": "*", "Condition": { "StringEquals": { "ecs:tag/owner": "zhangsan", "ecs:tag/environment": "production" } } }, { "Action": [ "ecs:DescribeTagKeys", "ecs:DescribeTags" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecs:DeleteTags", "ecs:UntagResources", "ecs:CreateTags", "ecs:TagResources" ], "Resource": "*" } ], "Version": "1" }权限策略
内容
说明
访问带标签资源的权限
-
"ecs:tag/owner": "zhangsan" -
"ecs:tag/environment": "production"
控制绑定该标签的资源的访问。
允许查询标签的接口权限
-
ecs:DescribeTagKeys -
ecs:DescribeTags
ECS控制台需要支持标签查询的权限。
不允许操作标签相关的接口权限
-
ecs:DeleteTags -
ecs:UntagResources -
ecs:CreateTags -
ecs:TagResources
权限中不允许出现与操作标签有关的接口,避免用户因修改标签导致没有权限。
-
-
将自定义策略授权给您希望控制访问的RAM用户或组。更多信息,请参见为RAM角色授权。
本步骤中将自定义策略UseTagAccessRes授权给RAM用户userTest。
说明
如果您将自定义策略UseTagAccessRes授权已存在的RAM用户,请注意RAM用户多个权限策略产生的权限问题。
步骤二:主账号为已有资源绑定特定标签
您可以将已有的资源绑定特定标签,实现对已有资源的访问控制。本步骤使用主账号创建ECS实例,并绑定特定标签。
说明
如果您尚未创建ECS实例,请您先创建ECS实例作为已有资源。具体操作,请参见实例创建方式介绍。
-
登录ECS管理控制台。
-
在左侧导航栏,单击标签。
-
单击创建自定义标签,创建
owner:zhangsan和environment: production标签,并绑定已有ECS实例。有关绑定标签具体操作,请参见创建或绑定标签。
步骤三:RAM子账号访问带标签的ECS实例
使用带有自定义策略UseTagAccessRes的RAM用户userTest登录ECS控制台,访问带标签的ECS实例。
说明
支持带标签的ECS资源包括实例、块存储、快照等。有关更多支持绑定标签的ECS资源类型,请参见支持绑定标签的ECS资源。本步骤仅以ECS实例作为示例。
-
登录ECS管理控制台。
-
在左侧导航栏,选择实例与镜像 > 实例。
-
选择地域后,实例列表为空。
指定标签后查看有权限的资源。
腾讯云1折,限时活动,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利。同意关联立享优惠
转转请注明出处:https://www.yunxiaoer.com/150900.html