如何使用标签(TAG RAM)控制对ECS 资源的访问?

本文涉及的产品
云服务器 ECS,每月免费额度200元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 如何创建RAM (Resource Access Management)策略以使用标签控制对 云服务器(Elastic Compute Service,ECS)实例的访问?

问题

如何创建RAM (Resource Access Management)策略以使用标签控制对 云服务器(Elastic Compute Service,ECS)实例的访问?

场景描述

控制对ECS 实例部署的访问,具体操作如下所示

  1. 添加标签:向实例中添加特定标签,​您希望向用户或组授予对这些实例的访问权限。
  2. 创建RAM策略:创建一个 RAM 策略,以授予对任何带该特定标签的实例​的访问权限。
  3. 授权用户:将该 RAM 策略附加到您希望访问实例的用户或组。

解决方法

向 ECS 实例组添加标签

打开 ​ECS 控制台,然后​向 ECS 实例组添加标签,您希望用户或组能够访问这些实例。​如果您还没有标签,请创建一个并加入资源

注意:在为资源添加标签之前,请阅读并了解标签限制。

创建一个 RAM 策略,以授予对带该特定标签的实例​的访问权限

创建一个类似于以下的 RAM 策略:

允许控制带标签的实例。
包含一个条件语句,如果条件键 ecs:tag/onwer 的值与标签值 lisi.ls@alibab.com 或 zs.zs@alibaba.com 匹配,则该语句允许访问 ECS 资源。
允许访问 带有 标签键owner 标签值为lisi.ls@alibaba.com 或者zs.zs@alibaba.com 的 ECS 资源的 ecs:* 操作,.
明确允许访问ECS查询标签 ecs:DescribeTagKeys 和 ecs:DeleteTags 操作
明确拒绝访问 ecs:DeleteTags 、 ecs:UntagResources 、ecs:CreateTags 及 ecs:TagResources操作,以防止用户创建或删除标签。
注意:这将通过向 ECS 实例中添加特定标签来防止用户控制该实例。
例如,创建完成的策略看起来应如下所示:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ecs:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:tag/owner": [
                        "lisi.ls@alibaba.com",
                        "zs.zs@alibaba.com"
                    ]
                }
            }
        },
        {
            "Action": "ecs:DescribeTagKeys",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ecs:DescribeTags",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ecs:DeleteTags",
                "ecs:UntagResources",
                "ecs:CreateTags",
                "ecs:TagResources"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

将该 RAM 策略附加到您希望访问实例的用户或组a

最后,将已创建的 RAM 策略附加到您希望访问实例的用户或组。您可以使用 RAM 管理控制台、阿里云 CLI 或 阿里云 API 来附加 RAM 策略。

在Ecs控制台查看资源的时候,需要指定标签后可以看到有权限的资源。

方式1:设置全局标签
image.png
方式2:通过过滤参数指定对应标签
image.png

相关信息

向 RAM 用户授予 ECS 资源必需的权限
ECS 的 鉴权规则
ECS TAG功能详解

相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
15天前
|
Java Linux
Springboot 解决linux服务器下获取不到项目Resources下资源
Springboot 解决linux服务器下获取不到项目Resources下资源
|
1月前
|
弹性计算 监控 数据可视化
ecs资源可视化
ecs资源可视化
23 3
|
30天前
|
弹性计算 运维 监控
ECS资源监控
ECS资源监控涉及CPU、内存、磁盘I/O、网络流量、系统负载和进程的关键指标,通过云服务商控制台、监控服务、API与SDK、运维工具进行实时监控和告警设置。支持历史数据查询、事件监控,以及使用Windows资源监视器和Linux系统工具进行操作系统层面监控。全面监控确保ECS实例稳定运行、资源有效利用和问题及时处理。如需特定云服务商的指导,请询问。
31 3
|
1月前
|
网络协议 Shell 网络安全
实验目的1.编译安装httpd2.优化路径3.并将鲜花网站上传到web服务器为网页目录4.在客户机访问网站http://www.bdqn.com
实验目的1.编译安装httpd2.优化路径3.并将鲜花网站上传到web服务器为网页目录4.在客户机访问网站http://www.bdqn.com
163 0
|
20天前
|
缓存 监控 Linux
服务器中常用的几个资源监控工具整理
【4月更文挑战第2天】服务器中常用的几个资源监控工具整理
360 13
|
1月前
|
JavaScript 前端开发 应用服务中间件
通过域名的方式访问服务器里的资源
通过域名的方式访问服务器里的资源
24 0
|
1月前
|
弹性计算 小程序 开发者
阿里云服务器性能测评:25M带宽阿里云云服务器支持多少人访问?
在深入探讨25M带宽云服务器的性能时,我们首先要明确一个核心概念:带宽与服务器能够支持的同时访问量之间存在着直接的关联。那么,大家可能会好奇,带宽为25M的云服务器究竟能够支持多少用户同时访问呢?
127 0
|
1月前
|
存储 网络协议 安全
如何搭建外网可访问的Serv-U FTP服务器,轻松远程共享文件!
如何搭建外网可访问的Serv-U FTP服务器,轻松远程共享文件!
|
1月前
|
Windows
Windows Server 各版本搭建 Web 服务器实现访问本地 Web 网站(03~19)
Windows Server 各版本搭建 Web 服务器实现访问本地 Web 网站(03~19)
57 2
|
4月前
|
数据库 数据安全/隐私保护
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
521 3

相关产品

  • 云服务器 ECS