由于用户创建的自定义命令中,可能会存在高权限的命令,例如:格式化磁盘、删除文件等。这类命令需要严格控制权限。这类命令如果所有子用户都可以操作,可能会产生安全/合规风险。所以用户需要对部分自定义命令设置权限,控制一些高权限命令的可执行范围。
从2023年11月开始,批量作业支持针对每个自定义命令设置权限,进行细粒度的权限控制:
在“访问控制”的ServiceRolePolicyForVolcECS角色中(ECS产品默认策略)中,增加批量作业相关控制:
Action中增加:执行命令、查询命令等。
Resource中可以添加命令ID。
通过访问控制中的设置,可以禁止某个用户执行批量作业命令,或禁止执行特定的自定义命令。
当前发布地域为华北2(北京)、华东2(上海)和华南1(广州)。