详情页标题前

阿里云ECS云服务器共享镜像权限策略说明-云淘科技

阿里云服务器
详情页1

在跨账号共享自定义镜像(包括共享加密自定义镜像)场景中,如果您需要实现某些特定的权限控制,可以参考本文内容添加不同的权限策略,从而实现不同资源访问权限的目的。

操作场景

本操作以阿里云账号(主账号)A、B,RAM用户B1(阿里云账号B的子账号)为例,介绍在不同的场景下添加不同的权限策略可以实现的权限控制。场景说明如下:

  • 场景一:假设在华北1(杭州)地域,仅允许RAM用户B1(阿里云账号B的子账号)使用阿里云账号A共享的自定义镜像创建ECS实例,示例场景如下图所示。

    阿里云ECS云服务器共享镜像权限策略说明-云淘科技

    具体操作,请参见仅允许RAM用户B1使用阿里云账号A共享的自定义镜像创建ECS实例。

  • 场景二:假设在华北1(杭州)地域,仅允许RAM用户B1(阿里云账号B的子账号)使用自定义镜像(包括共享镜像)创建ECS实例,不允许使用公共镜像、市场镜像等创建ECS实例,示例场景如下图所示。

    阿里云ECS云服务器共享镜像权限策略说明-云淘科技

    具体操作,请参见仅允许RAM用户B1使用自定义镜像创建ECS实例。

准备工作

  • 获取阿里云账号(主账号)A和阿里云账号B(主账号)的账号ID。

    获取方式:将鼠标移至控制台右上角的用户头像,在弹出的用户信息框中,如果标识了账号为主账号,则显示的账号ID即为阿里云账号ID。

  • 阿里云账号B需授予RAM用户B1(阿里云账号B的子账号)创建ECS实例的权限,添加的权限策略示例如下:

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

  • 如果您共享的是加密自定义镜像,还需要添加其他相应的权限策略。具体操作,请参见共享加密自定义镜像。

仅允许RAM用户B1使用阿里云账号A共享的自定义镜像创建ECS实例

添加权限

  1. 阿里云账号B创建自定义权限策略。

    具体操作,请参见通过脚本编辑模式创建自定义权限策略。

    创建自定义权限策略如下,请您根据实际情况将ImageOwnerId替换为阿里云账号A的账号ID,表示仅允许使用"123456789012****"账号共享的自定义镜像创建ECS实例。

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Effect": "Deny",
      "Resource": "acs:ecs:cn-hangzhou:*:image/*",
      "Condition": {
        "StringNotEquals": {
          "ecs:ImageOwnerId": "123456789012****"
        }
      }
    }
  ]
}

  2. 阿里云账号B为RAM用户B1添加已创建的自定义权限策略。

    具体操作,请参见为RAM用户授权。

结果验证

RAM用户B1使用自定义镜像创建ECS实例。

  • 使用阿里云账号A共享的自定义镜像创建ECS实例。

    • 操作步骤:具体操作,请参见使用共享镜像创建ECS实例。

    • 操作结果:可以成功创建ECS实例。

  • 使用其他阿里云账号(例如阿里云账号C)共享的自定义镜像创建ECS实例。

    • 操作步骤:具体操作,请参见使用共享镜像创建ECS实例。

    • 操作结果:确认订单时会提示如下报错信息。阿里云ECS云服务器共享镜像权限策略说明-云淘科技

仅允许RAM用户B1使用自定义镜像创建ECS实例

添加权限

  1. 阿里云账号B创建自定义权限策略。

    具体操作,请参见通过脚本编辑模式创建自定义权限策略。

    创建自定义权限策略如下, "ecs:ImageSource": "Custom"表示仅允许使用自定义镜像创建ECS实例。

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance"
            ],
            "Effect": "Deny",
            "Resource": "acs:ecs:cn-hangzhou:*:instance/*",
            "Condition": {
                "StringNotEquals": {
                    "ecs:ImageSource": "Custom"
                }
            }
        }
    ]
}

  2. 阿里云账号B为RAM用户B1添加已创建的自定义权限策略。

    具体操作,请参见为RAM用户授权。

结果验证

RAM用户B1使用自定义镜像创建ECS实例。

  • 使用共享的自定义镜像创建ECS实例。

    • 操作步骤:具体操作,请参见使用共享镜像创建ECS实例。

    • 操作结果:可以成功创建ECS实例。

  • 使用公共镜像或者市场镜像创建ECS实例。

    • 操作步骤:具体操作,请参见自定义购买实例。

    • 操作结果:确认订单时会提示如下报错信息。阿里云ECS云服务器共享镜像权限策略说明-云淘科技

腾讯云1折,限时活动,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利。同意关联立享优惠

转转请注明出处:https://www.yunxiaoer.com/153651.html

(0)
0
上一篇 2023年12月9日
下一篇 2023年12月9日
详情页2

相关推荐

  • 阿里云ECS云服务器共享镜像权限策略说明-云淘科技 阿里云服务器

    阿里云ECS云服务器共享镜像权限策略说明-云淘科技

    在跨账号共享自定义镜像(包括共享加密自定义镜像)场景中,如果您需要实现某些特定的权限控制,可以参考本文内容添加不同的权限策略,从而实现不同资源访问权限的目的。 操作场景 本操作以阿里云账号(主账号)A、B,RAM用户B1(阿里云账号B的子账号)为例,介绍在不同的场景下添加不同的权限策略可以实现的权限控制。场景说明如下: 场景一:假设在华北1(杭州)地域,仅允…

    2023年12月9日

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信
本站为广大会员提供阿里云、腾讯云、华为云、百度云等一线大厂的购买,续费优惠,保证底价,买贵退差。