<p>用户访问控制的细粒度权限策略的创建，通过创建自定义策略，可以控制到资源粒度的访问。</p> <p>背景信息</p> <p>访问控制RAM提供了多种系统授权策略供您使用，例如：ECSFullAccess、ECSReadOnly等，但系统策略控制力度较粗，只能达到云服务访问控制的级别。自定义策略可以满足您对子用户资源访问细粒度的授权需求。</p> <ul> <li><strong>通过可视化策略生成器创建自定义策略</strong>：借助可视化方式生成策略语法，适用于对权限细化划分有较高要求的用户。</li> <li><strong>通过策略语法创建自定义策略</strong>：通过策略语法创建自定义策略需要编写策略语法，生成对应的策略，适用于对语法逻辑有一定了解、对权限精细划分有较高要求的用户。</li> <li><strong>通过标签关联授权自定义策略</strong>：通过配置将具有指定标签属性的资源快速授权给用户和群组，适用于对资源分组授权的场景。</li> </ul> <p>重要：</p> <p>主账号下最多创建50个自定义策略，每个自定义策略最多可保留5个历史版本。</p> <p>操作步骤</p> <ol> <li>使用主账号或者具有相关权限的子账号登录<a href="/console/ram/overview" target="_blank">访问控制RAM控制台</a>。</li> <li>在左侧导航栏中，单击策略管理。</li> <li>在策略管理页面，单击左上角创建自定义策略。</li> <li>选择通过可视化策略生成器、策略语法或标签关联授权创建自定义策略。 <ul> <li><strong>通过可视化策略生成器创建</strong> <p>在通过可视化策略生成器创建页面完成如下配置：</p> <ol> <li><strong>策略名称</strong>：填写自定义策略的名称，不超过45字符。</li> <li><strong>备注</strong>：填写自定义策略的相关描述。</li> <li><strong>策略内容</strong> <ol> <li><strong>效果</strong>：选择策略效果为允许或者拒绝；</li> <li><strong>操作</strong>：单击选择服务与操作，选择策略作用的云服务，选择开启<strong>全部操作</strong>或勾选指定操作。</li> <li><strong>资源</strong>：选择全部资源或指定资源。 <p>选择指定资源时，在添加资源弹窗中，用户可以选择地域、资源类型，填写资源标识，生成对应语法的资源六段式表达。</p> </li> <li><strong>条件</strong>：单击<strong>添加条件</strong>，按需选择条件键（支持日期时间、IP地址、标签三种类型）和运算符，按格式填写条件值。</li> </ol> <p>说明： 您可以单击添加权限，设置多条权限。</p> </li> </ol> 完成后，单击下一步，检查策略内容，并关联用户/群组。说明： <ul> <li>策略内容中的语句通过上一步配置的标签、服务与操作等自动生成。</li> <li>您可以创建策略时授权用户/群组，也可以在策略创建后再进行授权，参见<a href="/ssr/help/manage/ram/manual.policymgt.custom.AssociatedUser" target="_blank">关联用户/群组</a>。</li> </ul> <p>单击完成，策略创建成功。</p> </li> <li><strong>通过策略语法创建</strong> <ol> <li>在通过策略语法创建页面完成如下配置：<br /> <img src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20222511154232-1f1c7dc59932.png" style="width:750px" /> <table> <caption>&nbsp;</caption> <thead> <tr> <th> <p>配置项</p> </th> <th> <p>说明</p> </th> </tr> </thead> <tbody> <tr> <td> <p>模板</p> </td> <td> <p>选择授权策略模板。</p> </td> </tr> <tr> <td> <p>策略名称</p> </td> <td> <p>填写自定义策略的名称，不超过45字符。</p> </td> </tr> <tr> <td> <p>备注</p> </td> <td> <p>填写自定义策略的相关描述。</p> </td> </tr> <tr> <td> <p>策略内容</p> </td> <td> <p>按照提示选择模板，输入策略内容。</p> </td> </tr> <tr> <td> <p>关联用户/关联群组</p> </td> <td> <p>选择策略授权的用户/群组。</p> <p>说明： 您可以创建策略时授权用户/群组，也可以在策略创建后再进行授权，参见<a href="/ssr/help/manage/ram/manual.policymgt.custom.AssociatedUser" target="_blank">关联用户/群组</a>。</p> </td> </tr> </tbody> </table> </li> <li>完成后，单击提交。</li> </ol> </li> <li><strong>通过标签关联授权</strong> <ol> <li>在通过标签关联授权页面完成如下配置：<img src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20222511154232-1ecfbf379e8a.png" style="width:800px" /> <table> <caption>&nbsp;</caption> <thead> <tr> <th> <p>配置项</p> </th> <th> <p>说明</p> </th> </tr> </thead> <tbody> <tr> <td> <p>策略名称</p> </td> <td> <p>填写自定义策略的名称，不超过45字符。</p> </td> </tr> <tr> <td> <p>备注</p> </td> <td> <p>填写关于自定义策略的相关描述。</p> </td> </tr> <tr> <td> <p>绑定标签</p> </td> <td> <p>搜索并选择标签键及标签值，支持绑定多个标签。绑定标签可快捷圈定一组资源，多个标签将组成并集，资源与其中任一标签关联则被包含。如需新建标签，可前往各产品控制台及标签管理页面创建。</p> </td> </tr> <tr> <td> <p>选择服务与操作</p> </td> <td> <p>单击添加，选择需要授权的服务及操作。</p> </td> </tr> </tbody> </table> </li> <li>单击下一步，进行检查与关联。可选择直接关联用户、群组，也可在策略创建后再进行授权。</li> <li>完成后，单击完成。</li> </ol> </li> </ul> </li> <li>在创建授权策略页面，完成如下配置。<img src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20222511154232-1e8208939726.png" style="width:800px" /> <ul> <li>模板：授权策略模板。</li> <li>名称：自定义策略的名称。</li> <li>备注：关于自定义策略的相关描述。</li> <li>内容：按照提示选择模板，输入策略内容。</li> </ul> </li> <li>完成后，单击提交。</li> </ol>