云服务器ECS资源绑定标签后,您可以使用标签为资源做分类并控制访问。本文以ECS实例为例,介绍如何为RAM用户授权特定的策略,使该RAM用户能够通过标签控制ECS实例的访问。

前提条件

已使用主账号创建一个RAM用户,详情请参见创建RAM用户

背景信息

云服务器ECS和其他云产品的多个资源支持绑定标签。关于支持标签的产品,详情请参见支持标签的产品列表。默认情况下,资源列表将展示本地域中所有的资源,如果您希望为RAM用户设置查看资源的范围,您可以通过创建自定义策略,利用标签控制RAM用户对资源的访问。

步骤一:主账号创建与授权RAM策略

本步骤将使用主账号新建一个自定义策略UseTagAccessRes(规定了RAM用户需要指定标签owner:zhangsan后方可访问ECS资源),并将自定义策略UserTagAccessRes授权给RAM用户userTest。

  1. 使用主账号登录RAM控制台
  2. 创建自定义策略UseTagAccessRes,详情请参见创建自定义策略
    本步骤中,使用的策略如下所示。您可以根据业务需求设置您需要的权限。
    {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ecs:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:tag/owner": "zhangsan"
                }
            }
        },
        {
            "Action": [
                "ecs:DescribeTagKeys",
                "ecs:DescribeTags"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ecs:DeleteTags",
                "ecs:UntagResources",
                "ecs:CreateTags",
                "ecs:TagResources"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}
    权限策略 内容 说明
    访问带标签资源的权限 "ecs:tag/owner": "zhangsan" 控制绑定该标签的资源的访问。
    允许查询标签的接口权限
    • ecs:DescribeTagKeys
    • ecs:DescribeTags
    		 ECS控制台需要支持标签查询的权限。
    不允许操作标签相关的接口权限
    • ecs:DeleteTags
    • ecs:UntagResources
    • ecs:CreateTags
    • ecs:TagResources
    		 权限中不允许出现与操作标签有关的接口,避免用户因修改标签导致没有权限。
  3. 将自定义策略授权给您希望控制访问的RAM用户或组。详情请参见为RAM角色授权。本步骤中将自定义策略UseTagAccessRes授权给RAM用户userTest。
    说明 如果您将自定义策略UseTagAccessRes授权已存在的RAM用户,请注意RAM用户多个权限策略产生的权限问题。

步骤二:主账号为已有资源绑定特定标签

您可以将已有的资源绑定特定标签,实现对已有资源的访问控制。本步骤使用主账号创建ECS实例,并绑定特定标签。

说明 如果您尚未创建ECS实例,请您先创建ECS实例作为已有资源。详情请参见创建方式导航
  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击标签
  3. 单击创建/绑定标签,创建owner:zhangsan标签,并绑定已有ECS实例。绑定标签详情请参见绑定标签

步骤三:RAM子账号访问带标签的ECS实例

使用带有自定义策略UseTagAccessRes的RAM用户userTest登录ECS控制台,访问带标签的ECS实例。

说明 支持带标签的ECS资源包括实例、块存储、快照、镜像、安全组、弹性网卡、专有宿主机、SSH密钥对以及实例启动模版。本步骤仅以ECS实例作为示例。
  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例与镜像 > 实例
  3. 选择地域后,实例列表为空。
    使用标签控制资源的访问_标签_标签与资源_云服务器 ECS 阿里云技术文档 第1张
  4. 指定标签后可以查看有权限的资源,通过两种方法实现。
    • 通过标签过滤指定特定标签:使用标签控制资源的访问_标签_标签与资源_云服务器 ECS 阿里云技术文档 第2张
    • 设置全局标签:使用标签控制资源的访问_标签_标签与资源_云服务器 ECS 阿里云技术文档 第3张