AI 助理
备案控制台登录注册
开发者社区 弹性计算 云服务器ECS 文章 正文

使用标签控制云助手的命令执行

2022-05-30 495
版权
举报
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
轻量应用服务器 2vCPU 4GiB,适用于搭建容器环境
轻量应用服务器 4vCPU 16GiB,适用于搭建游戏自建服
轻量应用服务器 2vCPU 4GiB,适用于搭建Web应用/小程序
简介: 简介: 子账号或相关角色只能将云助手命令执行在带有某种标签的ECS实例上,否则执行不成功。

设计

子账号或相关角色权限限制如下:

  1. 只能将命令执行到带有标签(user:zhangsan)的实例上
  2. 只能将文件传输到带有标签(user:zhangsan)的实例上
  3. 可以创建、删除、修改以及查询云助手命令和执行结果

权限设计如下:

要求发送命令/文件的实例带有标签(user:zhangsan):

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:InvokeCommand",
                "ecs:RunCommand",
                "ecs:StopInvocation",
                "ecs:SendFile"
            ],
            "Resource": "acs:ecs:*:*:instance/*",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/user": "zhangsan"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:InvokeCommand",
                "ecs:RunCommand",
                "ecs:StopInvocation",
                "ecs:SendFile"
            ],
            "Resource": "acs:ecs:*:*:command/*"
        }
    ]
}

查询标签、实例以及云助手资源的权限:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:DescribeTag*",
                "ecs:DescribeInstance*",
                "ecs:DescribeCommands",
                "ecs:CreateCommand",
                "ecs:DeleteCommand",
                "ecs:ModifyCommand",
                "ecs:DescribeInvocationResults",
                "ecs:DescribeSendFileResults",
                "ecs:DescribeInstances",
                "ecs:DescribeCloudAssistantStatus",
                "ecs:DescribeInvocations",
                "ecs:DescribeResourceByTags",
                "ecs:DescribeTagKeys",
                "ecs:DescribeTags",
                "ecs:ListTagResources",
                "ecs:DescribeManagedInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "oos:ListSecretParameters",
            "Resource": "*"
        }
    ]
}

验证

  1. 将命令执行到不带有标签(user:zhangsan)的实例上:

执行结果符合预期:

  1. 将命令执行到带有标签(user:zhangsan)的实例上:

执行成功

常见问题

如果权限控制未生效,请检查RAM用户的权限是否已经对这几个Action设置了Allow :["ecs:InvokeCommand","ecs:RunCommand", "ecs:StopInvocation","ecs:SendFile"]

例如:存在如下所示的权限策略,这种情况需要移除RAM用户的这个权限策略

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:InvokeCommand",
                "ecs:RunCommand",
                "ecs:StopInvocation",
                "ecs:SendFile"
            ],
            "Resource": "*"
        }
    ]
}


原文链接:

https://developer.aliyun.com/article/938460

文章标签:
云服务器 ECS
弹性计算
数据安全/隐私保护
相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
洛小蒙
+关注
57文章12问答
目录
打赏
0
0
0
0
225
分享
相关文章
米果粒
|
10月前
查看用户和切换用户命令
查看用户和切换用户命令。
米果粒
67 4
真的很搞笑
|
9月前
|
监控 Serverless 开发工具
函数计算产品使用问题之要确保服务能在后台持续运行,而不依赖于WebUI是否打开,该怎么操作
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
真的很搞笑
71 0
听风的鱼鱼儿
|
9月前
|
Ubuntu 安全 Linux
创建并使用自定义的Linux命令`autoupdate`来自动化软件更新
创建自定义Linux命令`autoupdate`简化系统更新流程。通过编写包含`apt update`, `apt upgrade`, `apt autoremove`和`apt clean`的bash脚本,实现一键自动化更新。将脚本添加到PATH环境变量,确保在任意目录可执行。适用于基于Debian/Ubuntu系统,其他发行版需调整命令。记得备份数据,必要时重启系统,并可按需扩展脚本功能。
听风的鱼鱼儿
157 0
Q小白养成记
|
10月前
|
Shell
命令行基础、命令编辑技巧、常用快捷键、访问设备资源
命令行基础、命令编辑技巧、常用快捷键、访问设备资源
Q小白养成记
52 1
vohelon
|
10月前
|
Web App开发 API
在机器人流程自动化(RPA)中,判断网页或元素是否加载完成是一个重要的步骤
【2月更文挑战第24天】在机器人流程自动化(RPA)中,判断网页或元素是否加载完成是一个重要的步骤
vohelon
462 6
我是koten
|
运维 Shell 应用服务中间件
【运维知识高级篇】超详细的Shell编程讲解3(if判断+Shell菜单+case流程判断+批量创建删除用户+猜数字小游戏)
【运维知识高级篇】超详细的Shell编程讲解3(if判断+Shell菜单+case流程判断+批量创建删除用户+猜数字小游戏)
我是koten
190 1
即兴小索奇
|
安全 Java Windows
不可或缺的BCUninstaller:全面显示软件信息、批量垃圾删除、强制卸载程序……
不可或缺的BCUninstaller:全面显示软件信息、批量垃圾删除、强制卸载程序……
即兴小索奇
211 0
ksyzz
|
弹性计算 数据安全/隐私保护
使用标签控制云助手的命令执行
子账号或相关角色只能将云助手命令执行在带有某种标签的ECS实例上,否则执行不成功。
ksyzz
152 1
使用标签控制云助手的命令执行
嘿嘿不务正业
|
Web App开发 自然语言处理 机器人
十行代码即可为你的网站添加语音小助手,无需任何外部依赖
前面一篇文章有讲到通过 Web Speech API 来朗诵诗歌,写了个诗歌朗诵的小网站。 而 Web Speech API 除了语音输出外,还支持语音识别,你可以通过 Web Speech API 收集用户的语音指令,为你的网站添加一些有趣的功能:比如在小说阅读网站上添加语音指令,让你可以语音控制翻书、下一章等,让你可以更方便的一边看小说一边吃薯片。🐶
嘿嘿不务正业
505 0
十行代码即可为你的网站添加语音小助手,无需任何外部依赖
银时
|
Linux Windows
麒麟部署平台应用启动和停止脚本模板
麒麟部署平台ISV操作手册
银时
660 0
弹性计算

云服务器ECS
+关注

热门文章

最新文章

  • 1
    谁动了我的实例&磁盘 -- ECS主动运维历史事件查询
    8959
  • 2
    使用TAG标签对云服务器ECS的分组和管理
    4729
  • 3
    【ECS】让您的突发性能实例始终正常运行
    4006
  • 4
    阿里云智能--基础产品技术月刊 2019年8月
    3425
  • 5
    基于标签(TAG)成本分摊管理
    1026
  • 6
    ECS控制台实例列表支持自动续费状态过滤
    980
  • 7
    AutoScaling 如何通过RAM使用弹性伸缩?
    901
  • 8
    2024年阿里云免费云服务器及学生云服务器申请教程参考
    212
  • 9
    阿里云服务器租用流程,四种阿里云服务器租用方式图文教程参考
    134
  • 10
    阿里云服务器租用、注册域名、备案及域名解析完整流程参考(图文教程)
    115
  • 1
    阿里云安全体检功能评测报告——个人开发者视角
    6
  • 2
    阿里云付费模式介绍:节省计划、预留实例券、抢占式实例区别及选择参考
    11
  • 3
    阿里云通用算力型u1实例2核4G199元1年测评,适合搭建中小型网站
    19
  • 4
    基于ECS部署DeepSeek个人专属AI网站
    36
  • 5
    全局缓存yarn
    16
  • 6
    新手上云教程参考:阿里云服务器租用、域名注册、备案及域名解析流程图文教程
    35
  • 7
    阿里云轻量应用服务器38元1年性能、适用场景简单测评
    28
  • 8
    阿里云服务器实例选择参考:根据业务场景选择云服务器实例规格
    33
  • 9
    阿里云免费版SSL证书申请及部署图文教程指导
    46
  • 10
    DeepSeek大解读系列公开课上新!阿里云专家主讲云上智能算力、Kubernetes容器服务、DeepSeek私有化部署
    113

    • 相关电子书

    更多
  • 软件定义的数据智能
  • 内容驱动游戏分发
  • 优化4K制作流程,创建“4K视觉云”服务

    • 相关实验场景

    更多
  • 使用资源编排为云资源批量绑定标签
  • ROS模板参数动态展示
    • 下一篇
    通义万相:视觉生成大模型再进化
    目录
    AI助理

    你好,我是AI助理

    可以解答问题、推荐解决方案等