RAM授权ECS,Resource语法中 relative-id 字段怎么填?
"acs:ecs:cn-beijing:*:instance/*"
这样子账户就可以显示所有ECS
"acs:ecs:cn-beijing:*:instance/i-xxxxxxxxxxxxxxxx"
按照官网文档写上具体实例id后,子账户一个也不显示
请问如何才能让子账户只显示其中一个实例呢?
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
在阿里云RAM(Resource Access Management)中,通过策略来控制子账户的访问权限。您提到的场景是希望子账户只能查看特定的一个ECS实例。根据您的描述,看起来是在尝试通过精确指定资源ID来实现这一限制,但遇到了问题。
确保策略正确设置是非常关键的。正确的策略格式应该能够允许子账户访问指定的资源。基于您的需求,一个可能的策略示例如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:DescribeInstances"
],
"Effect": "Allow",
"Resource": [
"acs:ecs:cn-beijing:*:instance/i-xxxxxxxxxxxxxxxx"
]
}
]
}
这段策略明确地指定了子账户有权限执行DescribeInstances操作,并且这个操作仅限于特定的ECS实例(用其实例ID表示)。请确保实例ID填写正确无误,且该实例确实位于cn-beijing区域。
如果按照上述方式设置后,子账户仍然无法查看到指定的实例,请检查以下几点: 1. 策略应用是否正确:确认此策略已正确关联到目标子账户或相关角色。 2. 资源是否存在:确认指定的ECS实例ID存在并且状态正常。 3. 是否有其他策略影响:检查子账户是否有更严格的策略(如Deny策略)覆盖了此授权,Deny策略优先级高于Allow策略。 4. 策略刷新:有时候策略更改后需要一点时间生效,可以尝试重新登录子账户或者等待片刻再试。
如果以上步骤都确认无误,但问题依旧,建议联系阿里云客服或在阿里云官方论坛寻求帮助,可能是遇到了特殊配置问题或系统延迟。
