阿里雲的RAM

問題：如今有一個需求，我須要對一個同事受權查看公司帳戶下面的全部子用戶的權限。

解決：1.阿里雲本身有什麼樣的權限

AliyunRAMFullAccess

管理資源訪問管理服務(RAM)的權限，即管理用戶以及受權的權限

AliyunRAMReadOnlyAccess

只讀訪問資源訪問管理服務(RAM)的權限，即查看用戶、組以及受權信息的權限

顯然，這個顆粒度比較大，我只須要受權子用戶查看全部用戶列表的權限。這個不符合個人需求。

2.查看阿里雲的api,找到一個ListUsers的接口

https://help.aliyun.com/document_detail/28684.html?spm=5176.doc28680.6.158.CIbV8r

參看阿里雲的RAM的api參考。

裏面提到了查看用戶須要的權限，這就是咱們所須要的權限策略。

用主帳戶登陸，建立自定義訪問策略以下：

AliyunRAMListUsersAccess

{
  "Statement": [
    {
      "Action": "ram:ListUsers",
      "Effect": "Allow",
      "Resource": "acs:ram:*:$account_id:user/*"
    }
  ],
  "Version": "1"
}

 

經過瀏覽器找到訪問的url:https://ram.console.aliyun.com/user/operator/loadUsers.json驗證

{
	"code": "200",
	"data": {
		"Users": [{
			"Comments": "",
			"UserName": "ecsadmin",
			"UserId": "xxxxx",
			"UpdateDate": "2016-08-26T09:40:53Z",
			"DisplayName": "ecsadmin",
			"CreateDate": "2016-08-25T01:59:37Z"
		}],
		"IsTruncated": false
	},
	"requestId": "2a6ff81d-9e1f-4535-bf60-397bc542315a",
	"successResponse": true
}

 

很好，解決了個人問題，這個設計符合個人需求。