可授权的资源类型
资源粒度授权指的是能够指定用户对哪些资源具有执行操作的能力。弹性云服务器部分API支持资源粒度授权,即表示针对资源粒度授权的ECS操作,控制何时允许用户执行操作或是允许用户使用的特定资源。在权限策略中可授权的资源类型如表1所示。
表1 可授权的资源类型
资源类型
权限策略中的资源标识
实例相关
ECS:$region:$domainId:instance:$instanceId
设置资源标识时,您需要将$region、$domainId、$instanceId等变量参数修改为实际的参数信息,或者直接使用*通配符。
说明:
在生命周期管理~FPGA逻辑文件管理中,实例授权中被标记为“×”的即表示该API不支持对资源粒度授权。针对不支持资源粒度授权的ECS API,您仍可以向用户授予该操作的权限,但权限策略语句中的Resource必须指定为*。
策略示例:如果将如下策略授权给用户A,表示用户A只具有虚拟机9e0263ee-542a-4114-bf4a-5dd14d3f8a18的开机、关机和重启权限。
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServers:start",
"ecs:cloudServers:reboot",
"ecs:cloudServers:stop"
],
"Resource": [
"ECS:*:*:instance:9e0263ee-542a-4114-bf4a-5dd14d3f8a18"
]
}
]
}
使用标签控制资源的访问
弹性云服务器ECS资源绑定标签后,您可以使用标签为资源做分类并控制访问。在策略中,您可以定义多个标签,然后将一个或多个策略附加到IAM用户或用户组。如果要控制IAM用户可以访问哪些资源,您可以创建自定义策略并使用标签来实现访问控制。
步骤一:主账号创建与授权IAM策略
本步骤将使用主账号新建一个自定义策略policyTest,并将自定义策略policyTest授权给IAM用户A。
使用主账号登录IAM控制台。
创建自定义策略policyTest,如下所示,您可以在策略主体中为ECS实例设置多个标签。
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServers:start",
"ecs:cloudServers:reboot",
"ecs:cloudServers:stop"
],
"Condition": {
"StringEqualsIgnoreCase": {
"g:ResourceTag/team": [
"dev"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:cloudServers:list",
"ecs:cloudServers:showServer",
"ecs:cloudServers:showServerTags"
]
},
{
"Effect": "Deny",
"Action": [
"ecs:cloudServers:batchSetServerTags"
]
}
]
}
权限策略
策略内容
说明
允许带标签资源的开机/关机/重启权限
"g:ResourceTag/team":"dev"
允许用户A对带有标签“team=dev”的虚拟机进行开机/关机/重启操作。
允许查询虚拟机详情与标签的接口权限
ecs:cloudServers:list
ecs:cloudServers:showServer
ecs:cloudServers:showServerTags
ECS控制台上用户需要查看虚拟机和标签的权限。
不允许操作标签相关的接口权限
ecs:cloudServers:batchSetServerTags
禁止用户A操作资源上绑定的标签,避免用户因修改标签导致没有权限。
将自定义策略授权给您希望控制访问的IAM用户或组,本步骤中将自定义策略policyTest授权给IAM用户A。
步骤二:主账号为已有资源绑定特定标签
您可以为已有的ECS实例绑定特定标签,实现对已有ECS实例的访问控制。
登录管理控制台。
进入弹性云服务器详情页,单击“标签”。
单击“添加标签”,创建team:dev标签,并绑定至已有ECS实例。
步骤三:IAM子用户访问带标签的ECS实例
用户A登录ECS控制台,操作带标签的ECS实例。
登录ECS管理控制台。
选择地域后,查看该地域全部ECS实例列表。
根据标签过滤出有操作权限的ECS实例。
对有操作权限的ECS实例进行开机、关机或重启。
说明:
在生命周期管理~FPGA逻辑文件管理中,标签授权中被标记为“×”的即表示该API不支持使用标签对资源进行访问控制。针对不支持标签授权的ECS API,您仍可以向用户授予该操作的权限,但权限策略语句中的Condition不能通过g:ResourceTag指定标签键值。
华为云共建智能世界云底座[52] 华为公有云专属云主机DeH服务[51] 华为云场景化解决方案[49] 华为公有云产品[44] 华为云云主机[43] 华为云产品服务[43] 华为云服务器应用[43] 华为弹性云服务器[39] 华为公有云架构解决方案[38] 华为云提供的服务[37] 华为虚拟私有云vpc[37] 华为公有云介绍[32] 华为公有云提供哪些计算服务[30] 华为云漏洞扫描[27] 华为云软件开发服务[27] 华为公有云和私有云区别[27] 华为云域名注册[26] 华为云官网登陆[26] 华为公有云解决方案[26] 华为私有云产品有哪些[26] 华为私有云服务[25] 华为云数据库[23] 华为云安全[22] 华为公有云官网[22] 华为私有云的搭建方案[22] 华为云弹性云服务器应用[21] 华为公有云平台[20] 华为公有云行业解决方案[20] 华为私有云解决方案服务定制领导者[20] [19] 华为私有云服务器[19] 华为私有云网格结构[19] 华为公有云视讯解决方案[18] 华为云官网[17] 华为云速建站[17] 华为私有云架构[17] 华为云优势[16] 华为云服务器[16] 华为私有云部署架构[16] 华为云企业邮箱服务 (SAAS[15] 华为云邮箱[15] 华为公有云是什么[15] 华为公有云架构[15] 华为云迁移解决方案[14] 华为公有云解决方案服务定制领导者[14] 华为私有云解决方案[14] 云邮箱)[13] 华为云园区解决方案[13] 华为云服务总代理[13] 华为云速智能客服[13] 华为公有云服务[13] 华为私有云搭建方案[13] 云与计算咨询服务[12] 云与计算培训服务[11] 华为云备份[11] 华为云服务器配置[11] 华为云服务服务中心[11] 华为云服务核心分销商[11] 华为公有云[11] 华为私有云搭建[11] 云迁移与运营支撑服务[10] 公有云私有云混合云[10] 华为云服务器ECS[10] 华为云服务器成功案例[10] 华为云解决方案[10] 华为公有云通用解决方案[9] 华为智慧云课堂解决方案[9] 华为云数据解决方案[8] 华为云是什么[8] 华为私有云平台[8] 云与计算客户支持与运维使能服务[7] 华为云官网网站[7] 华为云智慧教育解决方案[7] 华为云智慧校园解决方案[7] 华为云桌面系统集成商[7] 华为云经销商[7] 华为代理公司有哪些[7] 华为私有云方案[7] 智慧教育云平台解决方案[7] 华为云服务器试用[6] 华为云网站建设服务器[6] 华为手机代理加盟[6] 华为私有云[6] 大数据使能服务[6] 智慧教育云计算解决方案[6] 华为云云主机 [5] 华为云智慧***解决方案[5] 华为云桌面总代理商[5] 云与计算客户支持服务[4] 华为云产品介绍[4] 华为云智慧制造解决方案[4] 华为云场景化解决方案[3] 华为公有云官网[3] 华为公有云通用解决方案[3] 华为弹性云服务器[3] 华为公有云产品 [3] 华为云产品服务[2] 华为云域名注册[2] 华为云数据库[2] 华为云智慧校园解决方案[2] 华为云服务器应用[2] 华为云服务器成功案例[2] 华为云软件开发服务[2] 华为公有云产品[2] 华为公有云介绍[2] 华为公有云和私有云区别[2] 华为公有云服务[2] 华为公有云架构[2] 华为公有云架构解决方案[2] 华为公有云视讯解决方案[2] 华为公有云解决方案[2] 华为私有云产品有哪些[2] 华为私有云服务[2] 华为私有云架构[2] 智慧教育云计算解决方案[2] 云规划设计与实施服务[2] 云邮箱[2] 华为云产品报价[2] 华为公有云通用解决方案 [2] 华为云服务器成功案例[1] 华为云桌面系统集成商[1] 云与计算客户支持与运维使能服务[1] 云迁移与运营支撑服务[1] 云迁移与运营支撑服务 [1] 华为云共建智能世界云底座[1] 华为云备份[1] 华为云安全[1] 华为云官网登陆[1] 华为云弹性云服务器应用[1] 华为云提供的服务[1] 华为云数据解决方案[1] 华为云智慧制造解决方案[1] 华为云服务器[1] 华为云服务核心分销商 [1] 华为云漏洞扫描[1] 华为云迁移解决方案 [1] 华为云速智能客服[1] 华为云邮箱[1] 华为公有云专属云主机DeH服务[1] 华为公有云是什么[1] 华为公有云行业解决方案[1] 华为私有云搭建[1] 华为私有云方案[1] 华为私有云服务.华为公有云专属云主机DeH服务.华为云产品报价[1] 华为私有云的搭建方案[1] 华为私有云网格结构[1] 华为私有云解决方案[1] 华为私有云部署架构[1] 为云产品服务[1] 云与计算咨询服务 [1] 云与计算客户支持与运维使能服务 [1] 云与计算客户支持与运维使能服务 云与计算客户支持服务[1] 华为云是什么 [1] 华为云软件开发服[1] 华为云速智能客服 [1] 华为代理加盟[1] 华为公有云架构解决方案 [1] 华为公有云解决方案服务定制领导者 [1] 华为弹性云[1] 华为弹性云服务器 华为云域名注册 华为云服务器应用[1] 华为私有云搭建 [1] 华为私有云搭建方案 [1] 华为私有云部署架构 [1] 大数据使能服务 [1] 撒[1]
