如果您需要通过RAM用户授予、更换、收回实例RAM角色,您需要通过阿里云账号授权RAM用户允许使用实例RAM角色。适用于跨账号访问、临时权限提升和指定弹性计算资源访问等场景。本文介绍如何在阿里云中授权RAM用户使用实例RAM角色。
背景信息
当您授权RAM用户使用实例RAM角色时,您必须授权RAM用户对该实例RAM角色的PassRole权限。
说明
PassRole权限决定该RAM用户能否直接执行角色策略赋予的权限。
操作步骤
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在用户页面,单击目标RAM用户操作列的添加权限。
在添加权限面板,为RAM用户添加权限。
选择授权应用范围。
整个云账号:权限在当前阿里云账号内生效。
指定资源组:权限在指定的资源组内生效。
说明指定资源组授权生效的前提是该云服务已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
指定授权主体。
授权主体即需要添加权限的RAM用户。
在选择权限区域,单击新建权限策略。
选择脚本编辑页签,根据页面提示,新建自定义权限策略。
自定义策略如下所示,其中,[ECS RAM Action]表示可授权RAM用户的权限,更多取值请参见鉴权规则。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: [ECS RAM Action]", "ecs: CreateInstance", "ecs: AttachInstanceRamRole", "ecs: DetachInstanceRAMRole" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "*" } ] }
返回添加权限面板,在选择权限区域单击自定义策略。
在左侧权限策略名称列表下,单击需要授予RAM用户的自定义权限策略。
说明每次最多绑定5条策略,如需绑定更多策略,请分多次操作。
您可以在右侧已选择区域框中,单击某条策略右侧的×进行撤销。
单击确定。
单击完成。
反馈
- 本页导读 (1)
文档反馈