在转卖阿里云服务器的时候,有时候客户在自学搭建网站啥的,总是需要重置。

手工帮他重置费时费力,如果手上就几个账户也不需要专门购买管理面板统合账户,阿里云自带的面板拥有的RAM子账户功能就很实用了。本文介绍了如何利用标签对ECS实例进行分组并授权,以满足RAM用户只能查看和操作被授权资源的需求。

本教程适合阿里云国际和阿里云国内,创建步骤没有区别。可能有人需要接收验证码验证你是你,我在写本教程时没有要收验证码,但你可能就需要,请根据实际情况自行应对。

前提条件

进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册
请确保您已经开通RAM服务并登录RAM控制台。如还未开通,请先开通RAM服务。点击此处开通

背景信息

你的阿里云账号已经购买用户需要的服务器,如图所示。
aliyun-list.png
假设你已购买5台服务器,准备将1给用户A,2和3给用户B,希望每个用户只能查看被授权的实例,未被授权的不允许查看。

解决方案

为此创建两个用户组,通过打标签将ECS实例分成2个组并授权给对应的用户组。

  • 其中实例1打上一对标签,标签键是user,标签值是A。
  • 其中实例2和3打上另一对标签,标签键是user,标签值是B。

操作步骤

添加标签

  1. 登录ECS控制台,在左边菜单选择实例与镜像-实例,进入管理实例的选项,如果看不到服务器,那就注意下你控制台所选的地区。
  2. 选择一个实例,在操作菜单下选择更多 > 实例设置 > 编辑标签。
    editing-tags.png
  3. 单击新建标签,输入标签键和标签值,单击确定。
    user-a.png
  4. 如图所示,已给实例1打上了user:A的标签
    user-a-tag.png
  5. 重复操作直到3台实例均打上标签
    user-3-tags.png

创建RAM用户组和用户

  1. 登录RAM控制台创建用户组
    create-user-group.png
  2. 创建完成
    create-user-group-completed.png
  3. 创建不同的RAM账号。
    create-user.png
  4. 保存密码。
    create-user-password.png

记得保存和保护好密码

将用户添加到对应的用户组

添加到用户组→选择用户组→确认

创建自定义策略

如果你可以将你账户内所有服务器均授权给某个用户,你可以不使用自定义策略,而是在授权那选择授权的时候,使用系统权限策略,搜索:AliyunECSFullAccess,将改权限给予用户,则用户获得了管理所有服务器的权限。

如果只能授权某台服务器给某个用户,可按如下顺序开始创建自定义策略
权限管理→权限策略管理→新建权限策略→输入策略名称和备注→脚本配置→参考如下规则填写

{
    "Statement": [
    {
        "Action": "ecs:*",
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ecs:tag/user": "A"
            }
        }
    },
    {
        "Action": "ecs:DescribeTag*",
        "Effect": "Allow",
        "Resource": "*"
    }
    ],
    "Version": "1"
}

主要是"ecs:tag/user": "A"这里指的是给user:A标签授权,因此,如果需要给user:B授权,只需要修改成:"ecs:tag/user": "B"即可。

最好为每台服务器单独创建一个策略,方便管理

此处是引用阿里云的解释:
在上述权限策略中:

带有Condition的"Action": "ecs:*"部分用于过滤标签为"team": "dev"的资源。 "Action":
"ecs:DescribeTag*"用于展示所有标签。当RAM用户在操作ECS控制台时,系统展示出所有标签供RAM用户选择,只有当RAM用户选择了标签值后,系统才能根据选中的标签值过滤相应资源。

点击确认,如果语法正确则能退回到权限策略管理界面

授权

选择需要授权的用户或者是用户组,点击添加权限,选择权限-选择自定义权限策略,就能看到上面设置的自定义权限,选择后点击确定。

RAM用户管理服务器

RAM用户只能使用单独的域名登录,域名为:https://signin-intl.aliyun.com/login.htm

1.使用前文保存的账户密码来登陆。

登录控制台后,系统默认跳转到ECS概览页,此时RAM用户看到的实例数为0,如需查看相关实例,请切换到实例页签下。

2.单击实例,单击搜索栏旁的标签

请确保控制台展示的当前地域是期望地域。

3.鼠标悬停在标签键上,在标签键下拉列表的右侧会展示出对应的标签值,单击对应的标签值,系统可以过滤出相应资源。

选中标签值之后,系统才可以过滤出相应资源。

user-a-server.png

后续

利用标签对安全组、云盘、快照或镜像进行分组授权的方法与上述对实例分组授权的方法相同。但镜像中只有自定义镜像支持打标签。


参考:
利用标签对ECS实例进行分组授权

最后修改:2020 年 02 月 14 日 09 : 45 PM