阿里云服务器ECS使用教程-共享镜像权限策略说明

云服务器ECS > 阿里云服务器ECS使用教程-共享镜像权限策略说明

喜讯：国内、香港、海外云服务器租用特惠活动，2核/4G/10M仅需31元每月，点击抢购>>>

在跨账号共享自定义镜像（包括共享加密自定义镜像）场景中，如果您需要实现某些特定的权限控制，可以参考本文内容添加不同的权限策略，从而实现不同资源访问权限的目的。

操作场景

本操作以阿里云账号（主账号）A、B，RAM用户B1（阿里云账号B的子账号）为例，介绍在不同的场景下添加不同的权限策略可以实现的权限控制。场景说明如下：

场景一：假设在华北1（杭州）地域，仅允许RAM用户B1（阿里云账号B的子账号）使用阿里云账号A共享的自定义镜像创建ECS实例，示例场景如下图所示。
具体操作，请参见仅允许RAM用户B1使用阿里云账号A共享的自定义镜像创建ECS实例。
场景二：假设在华北1（杭州）地域，仅允许RAM用户B1（阿里云账号B的子账号）使用自定义镜像（包括共享镜像）创建ECS实例，不允许使用公共镜像、市场镜像等创建ECS实例，示例场景如下图所示。
具体操作，请参见仅允许RAM用户B1使用自定义镜像创建ECS实例。

准备工作

获取阿里云账号（主账号）A和阿里云账号B（主账号）的账号ID。
获取方式：将鼠标移至控制台右上角的用户头像，在弹出的用户信息框中，如果标识了账号为主账号，则显示的账号ID即为阿里云账号ID。

阿里云账号B需授予RAM用户B1（阿里云账号B的子账号）创建ECS实例的权限，添加的权限策略示例如下：

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]}

如果您共享的是加密自定义镜像，还需要添加其他相应的权限策略。具体操作，请参见共享加密自定义镜像。

仅允许RAM用户B1使用阿里云账号A共享的自定义镜像创建ECS实例

添加权限

阿里云账号B创建自定义权限策略。

具体操作，请参见通过脚本编辑模式创建自定义权限策略。

创建自定义权限策略如下，请您根据实际情况将ImageOwnerId替换为阿里云账号A的账号ID，表示仅允许使用"123456789012****"账号共享的自定义镜像创建ECS实例。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Effect": "Deny",
      "Resource": "acs:ecs:cn-hangzhou:*:image/*",
      "Condition": {
        "StringNotEquals": {
          "ecs:ImageOwnerId": "123456789012****"
        }
      }
    }
  ]}

阿里云账号B为RAM用户B1添加已创建的自定义权限策略。
具体操作，请参见为RAM用户授权。

结果验证

RAM用户B1使用自定义镜像创建ECS实例。

使用阿里云账号A共享的自定义镜像创建ECS实例。
- 操作步骤：具体操作，请参见使用共享镜像创建ECS实例。
- 操作结果：可以成功创建ECS实例。
使用其他阿里云账号（例如阿里云账号C）共享的自定义镜像创建ECS实例。
- 操作步骤：具体操作，请参见使用共享镜像创建ECS实例。
- 操作结果：确认订单时会提示如下报错信息。

仅允许RAM用户B1使用自定义镜像创建ECS实例

添加权限

阿里云账号B创建自定义权限策略。

具体操作，请参见通过脚本编辑模式创建自定义权限策略。

创建自定义权限策略如下， "ecs:ImageSource": "Custom"表示仅允许使用自定义镜像创建ECS实例。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance"
            ],
            "Effect": "Deny",
            "Resource": "acs:ecs:cn-hangzhou:*:instance/*",
            "Condition": {
                "StringNotEquals": {
                    "ecs:ImageSource": "Custom"
                }
            }
        }
    ]}

阿里云账号B为RAM用户B1添加已创建的自定义权限策略。
具体操作，请参见为RAM用户授权。

结果验证

RAM用户B1使用自定义镜像创建ECS实例。

使用共享的自定义镜像创建ECS实例。
- 操作步骤：具体操作，请参见使用共享镜像创建ECS实例。
- 操作结果：可以成功创建ECS实例。
使用公共镜像或者市场镜像创建ECS实例。
- 操作步骤：具体操作，请参见自定义购买实例。
- 操作结果：确认订单时会提示如下报错信息。

火山引擎文档

天翼云文档

百度智能云文档

腾讯云文档

阿里云文档

华为云文档

帐号服务

云计算

云安全

企业服务

备案服务

操作场景

准备工作

仅允许RAM用户B1使用阿里云账号A共享的自定义镜像创建ECS实例

添加权限

结果验证

仅允许RAM用户B1使用自定义镜像创建ECS实例

添加权限

结果验证

TOP云产品

解决方案

帮助与支持

其他链接

快速通道

关于 TOP云