本文由阿里云代理商【聚搜云】撰写
简介:TG@luotuoemo
1. 创建RAM用户
- 使用RAM管理员登录RAM控制台。
- 在左侧导航栏选择“身份管理” > “用户”,点击“创建用户”。
- 填写用户信息,选择是否允许控制台登录,然后点击“确定”。
2. 创建自定义权限策略
-
在RAM控制台左侧导航栏选择“权限管理” > “权限策略”,点击“创建权限策略”。
-
在“创建权限策略”页面,选择“可视化编辑”或“脚本编辑”:
- 可视化编辑:通过界面选择服务、操作、资源和条件,逐步构建权限策略。
- 脚本编辑:直接编写JSON格式的权限策略脚本。
-
配置完成后,填写策略名称和描述,点击“确定”。
3. 为RAM用户或角色授权
- 在RAM控制台左侧导航栏选择“身份管理” > “用户”或“角色”,找到目标RAM用户或角色。
- 点击“操作”列的“新增授权”,或选中多个用户/角色后点击页面下方的“新增授权”。
- 在“新增授权”面板中,选择资源范围(账号级别或资源组级别),选择授权主体(RAM用户或角色),并选择权限策略。
- 点击“确认新增授权”。
4. 配置细粒度权限
- 效果:选择“允许”或“拒绝”。
- 服务:选择云服务(如ECS、RDS等)。
- 操作:选择“全部操作”或“指定操作”。
- 资源:选择“全部资源”或“指定资源”,并配置具体的资源ARN。
- 条件:添加条件(如IP地址范围、时间等)。
5. 示例权限策略
-
管理人员权限策略(允许所有ECS操作):
JSON复制
{ "Version": "1", "Statement": [ { "Action": "ecs:*", "Resource": "*", "Effect": "Allow" } ] } -
开发人员权限策略(允许查看ECS实例信息,但不允许修改):
JSON复制
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:List*", "ecs:Describe*" ], "Resource": "*" } ] } -
运维人员权限策略(允许创建快照和镜像,但不允许删除资源):
JSON复制
{ "Version": "1", "Statement": [ { "Action": [ "ecs:Describe*", "ecs:CreateSnapshot", "ecs:CreateImage" ], "Resource": "*", "Effect": "Allow" } ] }
6. 注意事项
- 最小权限原则:仅授予必要的权限,避免高风险权限策略(如
AdministratorAccess)。 - 资源组支持:如果需要,可以使用资源组进行更细粒度的权限管理。
