如何使用标签(TAG RAM)控制对ECS 资源的访问?

简介: 如何创建RAM (Resource Access Management)策略以使用标签控制对 云服务器(Elastic Compute Service,ECS)实例的访问?

问题

如何创建RAM (Resource Access Management)策略以使用标签控制对 云服务器(Elastic Compute Service,ECS)实例的访问?

场景描述

控制对ECS 实例部署的访问,具体操作如下所示

  1. 添加标签:向实例中添加特定标签,​您希望向用户或组授予对这些实例的访问权限。
  2. 创建RAM策略:创建一个 RAM 策略,以授予对任何带该特定标签的实例​的访问权限。
  3. 授权用户:将该 RAM 策略附加到您希望访问实例的用户或组。

解决方法

向 ECS 实例组添加标签

打开 ​ECS 控制台,然后​向 ECS 实例组添加标签,您希望用户或组能够访问这些实例。​如果您还没有标签,请创建一个并加入资源

注意:在为资源添加标签之前,请阅读并了解标签限制。

创建一个 RAM 策略,以授予对带该特定标签的实例​的访问权限

创建一个类似于以下的 RAM 策略:

允许控制带标签的实例。
包含一个条件语句,如果条件键 ecs:tag/onwer 的值与标签值 lisi.ls@alibab.com 或 zs.zs@alibaba.com 匹配,则该语句允许访问 ECS 资源。
允许访问 带有 标签键owner 标签值为lisi.ls@alibaba.com 或者zs.zs@alibaba.com 的 ECS 资源的 ecs:* 操作,.
明确允许访问ECS查询标签 ecs:DescribeTagKeys 和 ecs:DeleteTags 操作
明确拒绝访问 ecs:DeleteTags 、 ecs:UntagResources 、ecs:CreateTags 及 ecs:TagResources操作,以防止用户创建或删除标签。
注意:这将通过向 ECS 实例中添加特定标签来防止用户控制该实例。
例如,创建完成的策略看起来应如下所示:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ecs:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:tag/owner": [
                        "lisi.ls@alibaba.com",
                        "zs.zs@alibaba.com"
                    ]
                }
            }
        },
        {
            "Action": "ecs:DescribeTagKeys",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ecs:DescribeTags",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ecs:DeleteTags",
                "ecs:UntagResources",
                "ecs:CreateTags",
                "ecs:TagResources"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

将该 RAM 策略附加到您希望访问实例的用户或组a

最后,将已创建的 RAM 策略附加到您希望访问实例的用户或组。您可以使用 RAM 管理控制台、阿里云 CLI 或 阿里云 API 来附加 RAM 策略。

在Ecs控制台查看资源的时候,需要指定标签后可以看到有权限的资源。

方式1:设置全局标签
image.png
方式2:通过过滤参数指定对应标签
image.png

相关信息

向 RAM 用户授予 ECS 资源必需的权限
ECS 的 鉴权规则
ECS TAG功能详解

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
21天前
|
安全 云计算
服务器系统资源不足怎么办
服务器系统资源不足怎么办
27 4
|
27天前
|
存储 人工智能 弹性计算
阿里云弹性计算(ECS)提供强大的AI工作负载平台,支持灵活的资源配置与高性能计算,适用于AI训练与推理
阿里云弹性计算(ECS)提供强大的AI工作负载平台,支持灵活的资源配置与高性能计算,适用于AI训练与推理。通过合理优化资源分配、利用自动伸缩及高效数据管理,ECS能显著提升AI系统的性能与效率,降低运营成本,助力科研与企业用户在AI领域取得突破。
47 6
|
2月前
|
存储 监控 Linux
充分利用服务器的磁盘资源,提高系统的稳定性和可维护性
充分利用服务器的磁盘资源,提高系统的稳定性和可维护性
43 0
|
4月前
|
弹性计算 监控 安全
重装系统后,无法通过云监控查看ecs资源占用怎么解决
如果您在重装系统后无法通过云监控查看ECS资源占用,可以按以下步骤排查:1. 确认云监控插件状态是否“运行中”,若不是则需重新安装;2. 通过自动安装流程安装插件,并确认状态变回“运行中”;3. 检查ECS网络配置,确保能访问外部网络;4. 验证监控功能是否正常显示数据;5. 可选设置报警规则。如问题仍存,请检查防火墙或安全组设置。通过上述步骤,您应能重新启用云监控。
|
4月前
|
弹性计算 Kubernetes 开发者
利用容器化服务实现游戏服务器的动态资源配置
【8月更文第12天】在游戏行业中,用户基数的变化往往呈现出明显的波动性,特别是在推广活动期间,用户基数会显著增加,而在非推广期则会有所下降。为了应对这种变化,游戏开发者需要一种能够根据用户基数动态调整服务器资源的解决方案,以确保用户体验的同时最大限度地节省成本。容器化服务因其灵活的资源管理和成本控制能力,成为了理想的解决方案。
71 2
|
6天前
|
弹性计算 运维 安全
阿里云轻量应用服务器与ECS的区别及选择指南
轻量应用服务器和云服务器ECS(Elastic Compute Service)是两款颇受欢迎的产品。本文将对这两者进行详细的对比,帮助用户更好地理解它们之间的区别,并根据自身需求做出明智的选择。
|
7天前
|
SQL 弹性计算 安全
阿里云上云优选与飞天加速计划活动区别及购买云服务器后续必做功课参考
对于很多用户来说,购买云服务器通常都是通过阿里云当下的各种活动来购买,这就有必要了解这些活动的区别,同时由于活动内的云服务器购买之后还需要单独购买并挂载数据盘,还需要设置远程密码以及安全组等操作之后才能正常使用云服务器。本文就为大家介绍一下目前比较热门的上云优选与飞天加速计划两个活动的区别,以及通过活动来购买云服务器之后的一些必做功课,确保云服务器可以正常使用,以供参考。
|
10天前
|
弹性计算 安全 开发工具
灵码评测-阿里云提供的ECS python3 sdk做安全组管理
批量变更阿里云ECS安全组策略(批量变更)
|
4天前
|
机器学习/深度学习 人工智能 编解码
阿里云GPU云服务器优惠收费标准,GPU服务器优缺点与适用场景详解
随着人工智能、大数据分析和高性能计算的发展,对计算资源的需求不断增加。GPU凭借强大的并行计算能力和高效的浮点运算性能,逐渐成为处理复杂计算任务的首选工具。阿里云提供了从入门级到旗舰级的多种GPU服务器,涵盖GN5、GN6、GN7、GN8和GN9系列,分别适用于图形渲染、视频编码、深度学习推理、训练和高性能计算等场景。本文详细介绍各系列的规格、价格和适用场景,帮助用户根据实际需求选择最合适的GPU实例。
|
6天前
|
弹性计算 Linux 数据安全/隐私保护
阿里云上快速搭建幻兽帕鲁游戏联机服务器指南
对于热爱幻兽帕鲁游戏的玩家来说,搭建一台专属的联机服务器无疑能够大大提升游戏体验。阿里云作为领先的云计算服务商,为玩家提供了便捷、高效的服务器搭建方案。本文将为您详细介绍如何在阿里云上快速搭建幻兽帕鲁游戏联机服务器,让您轻松享受多人游戏的乐趣。

热门文章

最新文章

相关产品

  • 云服务器 ECS