在转卖阿里云服务器的时候,有时候客户在自学搭建网站啥的,总是需要重置。
手工帮他重置费时费力,如果手上就几个账户也不需要专门购买管理面板统合账户,阿里云自带的面板拥有的RAM子账户功能就很实用了。本文介绍了如何利用标签对ECS实例进行分组并授权,以满足RAM用户只能查看和操作被授权资源的需求。
前提条件
进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册。
请确保您已经开通RAM服务并登录RAM控制台。如还未开通,请先开通RAM服务。点击此处开通。
背景信息
你的阿里云账号已经购买用户需要的服务器,如图所示。
假设你已购买5台服务器,准备将1给用户A,2和3给用户B,希望每个用户只能查看被授权的实例,未被授权的不允许查看。
解决方案
为此创建两个用户组,通过打标签将ECS实例分成2个组并授权给对应的用户组。
- 其中实例1打上一对标签,标签键是user,标签值是A。
- 其中实例2和3打上另一对标签,标签键是user,标签值是B。
操作步骤
添加标签
- 登录ECS控制台,在左边菜单选择实例与镜像-实例,进入管理实例的选项,如果看不到服务器,那就注意下你控制台所选的地区。
- 选择一个实例,在操作菜单下选择更多 > 实例设置 > 编辑标签。
- 单击新建标签,输入标签键和标签值,单击确定。
- 如图所示,已给实例1打上了
user:A
的标签 - 重复操作直到3台实例均打上标签
创建RAM用户组和用户
- 登录RAM控制台创建用户组
- 创建完成
- 创建不同的RAM账号。
- 保存密码。
将用户添加到对应的用户组
添加到用户组→选择用户组→确认
创建自定义策略
AliyunECSFullAccess
,将改权限给予用户,则用户获得了管理所有服务器的权限。
如果只能授权某台服务器给某个用户,可按如下顺序开始创建自定义策略
权限管理→权限策略管理→新建权限策略→输入策略名称和备注→脚本配置→参考如下规则填写
{
"Statement": [
{
"Action": "ecs:*",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:tag/user": "A"
}
}
},
{
"Action": "ecs:DescribeTag*",
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "1"
}
主要是"ecs:tag/user": "A"
这里指的是给user:A标签授权,因此,如果需要给user:B授权,只需要修改成:"ecs:tag/user": "B"即可。
此处是引用阿里云的解释:
在上述权限策略中:
带有Condition的"Action": "ecs:*"部分用于过滤标签为"team": "dev"的资源。 "Action":
"ecs:DescribeTag*"用于展示所有标签。当RAM用户在操作ECS控制台时,系统展示出所有标签供RAM用户选择,只有当RAM用户选择了标签值后,系统才能根据选中的标签值过滤相应资源。
点击确认,如果语法正确则能退回到权限策略管理界面
授权
选择需要授权的用户或者是用户组,点击添加权限,选择权限-选择自定义权限策略,就能看到上面设置的自定义权限,选择后点击确定。
RAM用户管理服务器
RAM用户只能使用单独的域名登录,域名为:https://signin-intl.aliyun.com/login.htm
1.使用前文保存的账户密码来登陆。
登录控制台后,系统默认跳转到ECS概览页,此时RAM用户看到的实例数为0,如需查看相关实例,请切换到实例页签下。
2.单击实例,单击搜索栏旁的标签。
请确保控制台展示的当前地域是期望地域。
3.鼠标悬停在标签键上,在标签键下拉列表的右侧会展示出对应的标签值,单击对应的标签值,系统可以过滤出相应资源。
选中标签值之后,系统才可以过滤出相应资源。
后续
利用标签对安全组、云盘、快照或镜像进行分组授权的方法与上述对实例分组授权的方法相同。但镜像中只有自定义镜像支持打标签。
版权属于:寒夜方舟
本文链接:https://www.wnark.com/archives/60.html
本站所有原创文章采用署名-非商业性使用 4.0 国际 (CC BY-NC 4.0)。 您可以自由地转载和修改,但请注明引用文章来源和不可用于商业目的。声明:本博客完全禁止任何商业类网站转载,包括但不限于CSDN,51CTO,百度文库,360DOC,AcFun,哔哩哔哩等网站。