阿里云服务器ECS使用教程-共享镜像权限策略说明

操作场景

本操作以阿里云账号（主账号）A、B，RAM用户B1（阿里云账号B的子账号）为例，介绍在不同的场景下添加不同的权限策略可以实现的权限控制。场景说明如下：

• 场景一：假设在华北1（杭州）地域，仅允许RAM用户B1（阿里云账号B的子账号）使用阿里云账号A共享的自定义镜像创建ECS实例，示例场景如下图所示。

  具体操作，请参见仅允许RAM用户B1使用阿里云账号A共享的自定义镜像创建ECS实例。

• 场景二：假设在华北1（杭州）地域，仅允许RAM用户B1（阿里云账号B的子账号）使用自定义镜像（包括共享镜像）创建ECS实例，不允许使用公共镜像、市场镜像等创建ECS实例，示例场景如下图所示。

  具体操作，请参见仅允许RAM用户B1使用自定义镜像创建ECS实例。

准备工作

• 获取阿里云账号（主账号）A和阿里云账号B（主账号）的账号ID。

  获取方式：将鼠标移至控制台右上角的用户头像，在弹出的用户信息框中，如果标识了账号为主账号，则显示的账号ID即为阿里云账号ID。

• 阿里云账号B需授予RAM用户B1（阿里云账号B的子账号）创建ECS实例的权限，添加的权限策略示例如下：

  {
      "Version": "1",
      "Statement": [
          {
              "Action": [
                  "ecs:RunInstances",
                  "ecs:CreateInstance"
              ],
              "Resource": "*",
              "Effect": "Allow"
          }
      ]}

• 如果您共享的是加密自定义镜像，还需要添加其他相应的权限策略。具体操作，请参见共享加密自定义镜像。

仅允许RAM用户B1使用阿里云账号A共享的自定义镜像创建ECS实例

添加权限

1. 阿里云账号B创建自定义权限策略。

   具体操作，请参见通过脚本编辑模式创建自定义权限策略。

   创建自定义权限策略如下，请您根据实际情况将ImageOwnerId替换为阿里云账号A的账号ID，表示仅允许使用"123456789012****"账号共享的自定义镜像创建ECS实例。

   {
     "Version": "1",
     "Statement": [
       {
         "Action": [
           "ecs:RunInstances",
           "ecs:CreateInstance"
         ],
         "Effect": "Deny",
         "Resource": "acs:ecs:cn-hangzhou:*:image/*",
         "Condition": {
           "StringNotEquals": {
             "ecs:ImageOwnerId": "123456789012****"
           }
         }
       }
     ]}

2. 阿里云账号B为RAM用户B1添加已创建的自定义权限策略。

   具体操作，请参见为RAM用户授权。

结果验证

RAM用户B1使用自定义镜像创建ECS实例。

• 使用阿里云账号A共享的自定义镜像创建ECS实例。

• 操作步骤：具体操作，请参见使用共享镜像创建ECS实例。

• 操作结果：可以成功创建ECS实例。

• 使用其他阿里云账号（例如阿里云账号C）共享的自定义镜像创建ECS实例。

• 操作步骤：具体操作，请参见使用共享镜像创建ECS实例。

• 操作结果：确认订单时会提示如下报错信息。

仅允许RAM用户B1使用自定义镜像创建ECS实例

添加权限

1. 阿里云账号B创建自定义权限策略。

   具体操作，请参见通过脚本编辑模式创建自定义权限策略。

   创建自定义权限策略如下， "ecs:ImageSource": "Custom"表示仅允许使用自定义镜像创建ECS实例。

   {
       "Version": "1",
       "Statement": [
           {
               "Action": [
                   "ecs:RunInstances",
                   "ecs:CreateInstance"
               ],
               "Effect": "Deny",
               "Resource": "acs:ecs:cn-hangzhou:*:instance/*",
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ImageSource": "Custom"
                   }
               }
           }
       ]}

2. 阿里云账号B为RAM用户B1添加已创建的自定义权限策略。

   具体操作，请参见为RAM用户授权。

结果验证

RAM用户B1使用自定义镜像创建ECS实例。

• 使用共享的自定义镜像创建ECS实例。

• 操作步骤：具体操作，请参见使用共享镜像创建ECS实例。

• 操作结果：可以成功创建ECS实例。

• 使用公共镜像或者市场镜像创建ECS实例。

• 操作步骤：具体操作，请参见自定义购买实例。

• 操作结果：确认订单时会提示如下报错信息。