账号访问控制RAM

Posted 2021-05-26 小东子李

账号访问控制

本文介绍了如何使用访问控制RAM（Resource Access Management）在账号级别上控制对云服务器ECS资源的访问，具体通过创建RAM用户（组）并授予特定权限策略实现。
背景信息
访问控制RAM是阿里云提供的资源访问控制服务。
访问控制RAM的典型场景：
用户：
如果您购买了多台云服务器ECS实例，您的组织里有多个用户（如员工、系统或应用程序）需要使用这些实例，您可以创建一个策略允许部分用户使用这些实例。避免了将同一个AccessKey泄露给多人的风险。
用户组：
您可以创建多个用户组，并授予不同权限策略，起到批量管理的效果。例如：

    为了加强网络安全控制，您可以给某个用户组授权一个权限策略，该策略可以规定：如果用户的IP地址不是来自企业网络，则拒绝此类用户请求访问相关ECS资源。

    您可以创建以下两个用户组管理不同工作职责的人员，如果某开发人员的工作职责发生转变，成为一名系统管理人员，您可以将其从Developers用户组移到SysAdmins用户组。

            SysAdmins：该用户组需要创建和管理的权限。您可以给SysAdmins组授予一个权限策略，该策略授予用户组成员执行所有ECS操作的权限，包括ECS实例、镜像、快照和安全组等。
            
             Developers：该用户组需要使用实例的权限。您可以给Developers组授予一个权限策略，该策略授予用户组成员调用DescribeInstances、StartInstance、StopInstance、RunInstance和DeleteInstance等权限。

权限策略

操作步骤
步骤一：创建RAM用户
1.在左侧导航栏的人员管理菜单下，单击用户。
2.单击新建用户。
3.输入登录名称和显示名称。
4.在访问方式区域下，选择控制台密码登录或编程访问。

         控制台密码登录：完成对登录安全的基本设置，包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
         编程访问：自动为RAM用户生成访问密钥（AccessKey），支持通过API或其他开发工具访问阿里云。

5.单击确认。

（可选）步骤二：创建自定义权限策略
除了使用阿里云提供的系统权限，您还可以按以下步骤在访问控制RAM控制台创建一个自定义权限策略：

1.在左侧导航栏的权限管理菜单下，单击权限策略管理。
2.单击新建权限策略。
3.填写策略名称和备注。
4.配置模式选择可视化配置或脚本配置。

            可视化配置：单击添加授权语句，根据界面提示，对权限效力、操作名称和资源等进行配置。

                         脚本配置：请参考权限策略语法和结构编辑策略内容。

脚本配置策略示例一：允许RAM用户创建按量付费实例。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeImages", 
                  "vpc:DescribeVpcs", 
                  "vpc:DescribeVSwitches", 
                  "ecs:DescribeSecurityGroups", 
                  "ecs:DescribeKeyPairs",
                  "ecs:DescribeTags", 
                  "ecs:RunInstances"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

脚本配置策略示例二：允许RAM用户创建包年包月实例。其中bss相关API主要用于查看并支付包年包月订单，其对应的系统策略为AliyunBSSOrderAccess。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeImages", 
                  "vpc:DescribeVpcs", 
                  "vpc:DescribeVSwitches", 
                  "ecs:DescribeSecurityGroups", 
                  "ecs:DescribeKeyPairs",
                  "ecs:DescribeTags", 
                  "ecs:RunInstances",
                  "bss:DescribeOrderList",
                  "bss:DescribeOrderDetail",
                  "bss:PayOrder",
                  "bss:CancelOrder"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

脚本配置策略示例三：允许RAM用户创建了ECS实例后查询实例和块存储信息。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecs:DescribeInstances", 
                    "ecs:DescribeDisks"
          ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

5.单击确定。
步骤三：授权RAM用户
按以下步骤在访问控制RAM控制台创授权RAM用户相关权限：

1.在左侧导航栏的人员管理菜单下，单击用户。
2.在用户登录名称/显示名称列表下，找到目标RAM用户。
3.单击添加权限，被授权主体会自动填入。
4.在左侧权限策略名称列表下，单击需要授予RAM用户的权限策略。
5.单击确定。
6.单击完成。

阿里云官方文档