创建自定义策略
<p>用户访问控制的细粒度权限策略的创建,通过创建自定义策略,可以控制到资源粒度的访问。</p>
<p>背景信息</p>
<p>访问控制RAM提供了多种系统授权策略供您使用,例如:ECSFullAccess、ECSReadOnly等,但系统策略控制力度较粗,只能达到云服务访问控制的级别。自定义策略可以满足您对子用户资源访问细粒度的授权需求。</p>
<ul>
<li><strong>通过可视化策略生成器创建自定义策略</strong>:借助可视化方式生成策略语法,适用于对权限细化划分有较高要求的用户。</li>
<li><strong>通过策略语法创建自定义策略</strong>:通过策略语法创建自定义策略需要编写策略语法,生成对应的策略,适用于对语法逻辑有一定了解、对权限精细划分有较高要求的用户。</li>
<li><strong>通过标签关联授权自定义策略</strong>:通过配置将具有指定标签属性的资源快速授权给用户和群组,适用于对资源分组授权的场景。</li>
</ul>
<p>重要:</p>
<p>主账号下最多创建50个自定义策略,每个自定义策略最多可保留5个历史版本。</p>
<p>操作步骤</p>
<ol>
<li>使用主账号或者具有相关权限的子账号登录<a href="/console/ram/overview" target="_blank">访问控制RAM控制台</a>。</li>
<li>在左侧导航栏中,单击策略管理。</li>
<li>在策略管理页面,单击左上角创建自定义策略。</li>
<li>选择通过可视化策略生成器、策略语法或标签关联授权创建自定义策略。
<ul>
<li><strong>通过可视化策略生成器创建</strong>
<p>在通过可视化策略生成器创建页面完成如下配置:</p>
<ol>
<li><strong>策略名称</strong>:填写自定义策略的名称,不超过45字符。</li>
<li><strong>备注</strong>:填写自定义策略的相关描述。</li>
<li><strong>策略内容</strong>
<ol>
<li><strong>效果</strong>:选择策略效果为允许或者拒绝;</li>
<li><strong>操作</strong>:单击选择服务与操作,选择策略作用的云服务,选择开启<strong>全部操作</strong>或勾选指定操作。</li>
<li><strong>资源</strong>:选择全部资源或指定资源。
<p>选择指定资源时,在添加资源弹窗中,用户可以选择地域、资源类型,填写资源标识,生成对应语法的资源六段式表达。</p>
</li>
<li><strong>条件</strong>:单击<strong>添加条件</strong>,按需选择条件键(支持日期时间、IP地址、标签三种类型)和运算符,按格式填写条件值。</li>
</ol>
<p>说明: 您可以单击添加权限,设置多条权限。</p>
</li>
</ol>
完成后,单击下一步,检查策略内容,并关联用户/群组。说明:
<ul>
<li>策略内容中的语句通过上一步配置的标签、服务与操作等自动生成。</li>
<li>您可以创建策略时授权用户/群组,也可以在策略创建后再进行授权,参见<a href="/ssr/help/manage/ram/manual.policymgt.custom.AssociatedUser" target="_blank">关联用户/群组</a>。</li>
</ul>
<p>单击完成,策略创建成功。</p>
</li>
<li><strong>通过策略语法创建</strong>
<ol>
<li>在通过策略语法创建页面完成如下配置:<br />
<img src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20222511154232-1f1c7dc59932.png" style="width:750px" />
<table>
<caption> </caption>
<thead>
<tr>
<th>
<p>配置项</p>
</th>
<th>
<p>说明</p>
</th>
</tr>
</thead>
<tbody>
<tr>
<td>
<p>模板</p>
</td>
<td>
<p>选择授权策略模板。</p>
</td>
</tr>
<tr>
<td>
<p>策略名称</p>
</td>
<td>
<p>填写自定义策略的名称,不超过45字符。</p>
</td>
</tr>
<tr>
<td>
<p>备注</p>
</td>
<td>
<p>填写自定义策略的相关描述。</p>
</td>
</tr>
<tr>
<td>
<p>策略内容</p>
</td>
<td>
<p>按照提示选择模板,输入策略内容。</p>
</td>
</tr>
<tr>
<td>
<p>关联用户/关联群组</p>
</td>
<td>
<p>选择策略授权的用户/群组。</p>
<p>说明: 您可以创建策略时授权用户/群组,也可以在策略创建后再进行授权,参见<a href="/ssr/help/manage/ram/manual.policymgt.custom.AssociatedUser" target="_blank">关联用户/群组</a>。</p>
</td>
</tr>
</tbody>
</table>
</li>
<li>完成后,单击提交。</li>
</ol>
</li>
<li><strong>通过标签关联授权</strong>
<ol>
<li>在通过标签关联授权页面完成如下配置:<img src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20222511154232-1ecfbf379e8a.png" style="width:800px" />
<table>
<caption> </caption>
<thead>
<tr>
<th>
<p>配置项</p>
</th>
<th>
<p>说明</p>
</th>
</tr>
</thead>
<tbody>
<tr>
<td>
<p>策略名称</p>
</td>
<td>
<p>填写自定义策略的名称,不超过45字符。</p>
</td>
</tr>
<tr>
<td>
<p>备注</p>
</td>
<td>
<p>填写关于自定义策略的相关描述。</p>
</td>
</tr>
<tr>
<td>
<p>绑定标签</p>
</td>
<td>
<p>搜索并选择标签键及标签值,支持绑定多个标签。绑定标签可快捷圈定一组资源,多个标签将组成并集,资源与其中任一标签关联则被包含。如需新建标签,可前往各产品控制台及标签管理页面创建。</p>
</td>
</tr>
<tr>
<td>
<p>选择服务与操作</p>
</td>
<td>
<p>单击添加,选择需要授权的服务及操作。</p>
</td>
</tr>
</tbody>
</table>
</li>
<li>单击下一步,进行检查与关联。可选择直接关联用户、群组,也可在策略创建后再进行授权。</li>
<li>完成后,单击完成。</li>
</ol>
</li>
</ul>
</li>
<li>在创建授权策略页面,完成如下配置。<img src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20222511154232-1e8208939726.png" style="width:800px" />
<ul>
<li>模板:授权策略模板。</li>
<li>名称:自定义策略的名称。</li>
<li>备注:关于自定义策略的相关描述。</li>
<li>内容:按照提示选择模板,输入策略内容。</li>
</ul>
</li>
<li>完成后,单击提交。</li>
</ol>
提交成功!非常感谢您的反馈,我们会继续努力做到更好!