如何使用标签(TAG RAM)控制对ECS 资源的访问?
问题
如何创建RAM (Resource Access Management)策略以使用标签控制对 云服务器(Elastic Compute Service,ECS)实例的访问?
场景描述
控制对ECS 实例部署的访问,具体操作如下所示
- 添加标签:向实例中添加特定标签,您希望向用户或组授予对这些实例的访问权限。
- 创建RAM策略:创建一个 RAM 策略,以授予对任何带该特定标签的实例的访问权限。
- 授权用户:将该 RAM 策略附加到您希望访问实例的用户或组。
解决方法
向 ECS 实例组添加标签
打开 ECS 控制台,然后向 ECS 实例组添加标签,您希望用户或组能够访问这些实例。如果您还没有标签,请创建一个并加入资源
注意:在为资源添加标签之前,请阅读并了解标签限制。
创建一个 RAM 策略,以授予对带该特定标签的实例的访问权限
创建一个类似于以下的 RAM 策略:
允许控制带标签的实例。
包含一个条件语句,如果条件键 ecs:tag/onwer 的值与标签值 lisi.ls@alibab.com 或 zs.zs@alibaba.com 匹配,则该语句允许访问 ECS 资源。
允许访问 带有 标签键owner 标签值为lisi.ls@alibaba.com 或者zs.zs@alibaba.com 的 ECS 资源的 ecs:* 操作,.
明确允许访问ECS查询标签 ecs:DescribeTagKeys 和 ecs:DeleteTags 操作
明确拒绝访问 ecs:DeleteTags 、 ecs:UntagResources 、ecs:CreateTags 及 ecs:TagResources操作,以防止用户创建或删除标签。
注意:这将通过向 ECS 实例中添加特定标签来防止用户控制该实例。
例如,创建完成的策略看起来应如下所示:
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:*", "Resource": "*", "Condition": { "StringEquals": { "ecs:tag/owner": [ "lisi.ls@alibaba.com", "zs.zs@alibaba.com" ] } } }, { "Action": "ecs:DescribeTagKeys", "Effect": "Allow", "Resource": "*" }, { "Action": "ecs:DescribeTags", "Effect": "Allow", "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecs:DeleteTags", "ecs:UntagResources", "ecs:CreateTags", "ecs:TagResources" ], "Resource": "*" } ], "Version": "1" }
将该 RAM 策略附加到您希望访问实例的用户或组a
最后,将已创建的 RAM 策略附加到您希望访问实例的用户或组。您可以使用 RAM 管理控制台、阿里云 CLI 或 阿里云 API 来附加 RAM 策略。
在Ecs控制台查看资源的时候,需要指定标签后可以看到有权限的资源。
方式1:设置全局标签
方式2:通过过滤参数指定对应标签
相关信息
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
如何生成 Flink 作业的交互式火焰图?
作者:田志声 前言 Flink 是目前最流行的大数据及流式计算框架之一,用户可以使用 Java/Scala/Python 的 DataStream 接口或者标准 SQL 语言来快速实现一个分布式高可用的流式应用,通过内部的 Java JIT、off-heap 内存管理等技术优化性能,并且有完整的 Source、Sink、WebUI、Metrics 等功能集成,让 Flink 几乎成为了流式计算的事实标准。 但是当处理海量数据的时候,很容易出现各种异常和性能瓶颈,这时我们需要优化系统性能时,常常需要分析程序运行行为和性能瓶颈。Profiling 技术是一种在应用运行时收集程序相关信息的动态分析手段,常用的 JVM Profiler 可以从多个方面对程序进行动态分析,如 CPU、Memory、Thread、Classes、GC 等,其中 CPU Profiling 的应用最为广泛。CPU Profiling 经常被用于分析代码的执行热点,如“哪个方法占用 CPU 的执行时间最长”、“每个方法占用 CPU 的比例是多少”等等,通过 CPU Profiling 得到上述相关信息后,研发人员就可...
- 下一篇
阿里云存储网关备份数据
阿里云存储网关备份数据一、创建云控制台网关在阿里云云存储网关控制台创建网关集群,然后继续创建云下网关。创建好网关后,就可以下载镜像和证书,为以后的安装作好准备。参考章节“线下网关安装部署”:https://help.aliyun.com/document_detail/108239.html 二、本地数据中心安装存储网关1、下载云存储性能型文件网关镜像,参考章节“线下网关安装部署”https://help.aliyun.com/document_detail/108239.html 2、参考章节“一般性问题”的安装镜像。 3.启动虚拟机,进入网关CLI控制台进行网络、ntp等配置https://help.aliyun.com/document_detail/108239.html 三、网关激活打开浏览器,输入https://<存储网关的IP> 进入云存储网关的Web控制页面的登录界面,上传证书(第一步),激活网关,请记下登录的用户密码。关键字:“激活网关” https://help.aliyun.com/document_detail/108239.html 四、配置OSS...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果