将精细 RBAC 许可权用于定制映像
VPC 映像服务允许 创建定制映像。 这些图像仅在单个帐户中可视且可用。 定制映像在创建时分配给 资源组。 用户可以具有多个资源组来托管具有不同访问控制特权的定制映像,或者将许可权直接分配给映像,从而将其访问权限制为特定用户。 这些访问特权称为基于角色的访问控制或 RBAC。
托管映像的定制资源组可以包含一组映像。 资源组可以控制单个映像或多个映像。 在资源组中托管的映像系列很常见。 由于访问规则已附加到资源组,因此此托管可使映像控制的管理更容易。
此处描述的过程适用于控制台。 但是,也可以使用 API 和 CLI 来执行此功能。
为映像访问控制创建定制资源组
您可以使用现有的资源组,也可以创建新的资源组。
要创建新的资源组,请按照以下步骤操作:
- 转到“管理”>“账户”>“账户资源”>“资源组”。
- 输入资源组名称,然后单击创建。
向资源组添加基于角色的访问控制
在资源组中 创建访问组,以授予在资源组中创建映像的特权。
- 转至 管理> 访问权 (IAM)> 访问组,然后单击 创建。
- 输入访问组的名称和说明,然后单击创建。
分配许可权
创建访问组时,必须应用策略以在资源组中设置许可权。
- 在“访问组”页面上,选择 访问策略 选项卡。 单击分配访问权。
- 选择 IAM 服务 和 VPC 基础架构服务。
- 单击 基于属性的服务。
- 在“添加属性”下,选择 资源组。
- 从列表中选择要使用的资源组。
- 在 添加属性 下选择 资源类型,然后选择资源类型 Image Service for VPC。 (可选) 您可以选择策略的特定映像标识。
- 选择 RBAC 许可权角色。 角色显示在表 1 中。
- 单击添加。
- 单击分配。
| RBAC 角色 | 角色许可权 |
|---|---|
| 查看者 | 具有此角色的用户可以查看图像。 |
| 运算符 | 具有此角色的用户可以使用映像。 |
| 编辑者 | 具有此角色的用户可以创建和删除映像 |
现在,您在资源组中具有访问组许可权。 要将用户分配到此访问组,请单击访问组的 用户 选项卡和 添加用户。
将映像与 VPC 中的定制访问控制配合使用
虚拟服务器实例和映像可以位于不同的资源组中。 此差异允许独立直接控制每种资源类型。 如果用户对两个资源组都具有相应的权限,那么可以从定制映像启动虚拟服务器实例。
确保需要部署定制映像的任何用户在先前访问组中至少具有 操作员 或 编辑者 角色。 如果他们只有 查看者 角色,那么无法部署定制映像。