Menyambungkan kebijakan kustom ke Pengguna RAM

Untuk menerapkan kontrol detail halus pada izin, Anda dapat membuat kebijakan kustom dan menyambungkannya ke Pengguna RAM. Topik ini menjelaskan cara menyambungkan kebijakan kustom ke Pengguna RAM. Sebagai contoh, seorang Pengguna RAM diberikan izin baca dan tulis pada namespace dari sebuah instans Container Registry Edisi Perusahaan.

Membuat kebijakan kustom

Masuk ke Konsol RAM sebagai Pengguna RAM dengan hak administratif.
Di panel navigasi sebelah kiri, pilih Permissions > Policies.
Pada halaman Policies, klik Create Policy.
Pada halaman Create Policy, klik tab JSON.
Salin skrip berikut ke editor kode dan ganti nilai instanceid dan namespace dalam skrip dengan nilai aktual Anda.
Jika ingin memberikan lebih banyak izin kepada Pengguna RAM, konfigurasikan parameter Action dan Resource dengan merujuk ke Aturan Otentikasi Container Registry. Untuk informasi tentang sintaks kebijakan, lihat Struktur dan Sintaks Kebijakan.
Catatan
Tanda asterisk (*) dalam konten kebijakan digunakan sebagai wildcard. Misalnya, cr:ListInstance* menunjukkan bahwa semua aksi yang dimulai dengan cr:ListInstance diberikan kepada Pengguna RAM. Jika Anda mengatur acs:cr:*:*:repository/$instanceid/$namespace/* menjadi acs:cr:*:*:repository/cri-123456/ns/*, semua izin pada namespace ns dari instans dengan ID cri-123456 di semua Wilayah diberikan kepada Pengguna RAM.
```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cr:ListInstance*",
        "cr:GetInstance*",
        "cr:ListSignature*"
      ],
      "Resource": "*"
    },
    {
      "Action": [
        "cr:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:*:*:repository/$instanceid/$namespace/*",
        "acs:cr:*:*:repository/$instanceid/$namespace"
      ]
    },
    {
      "Action": [
        "cr:List*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:*:*:repository/$instanceid/*",
        "acs:cr:*:*:repository/$instanceid/*/*"
      ]
    }
  ],
  "Version": "1"
}
```
Klik OK. Di kotak dialog Create Policy, atur parameter Policy Name dan Description.

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Pada halaman Users, temukan Pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa Pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada beberapa Pengguna RAM sekaligus.
Di panel Grant Permission, berikan izin kepada Pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku pada Akun Alibaba Cloud saat ini.
  - ResourceGroup: Otorisasi berlaku pada kelompok sumber daya tertentu.
    Penting
    Jika Anda memilih Kelompok Sumber Daya untuk parameter Lingkup Sumber Daya, pastikan layanan cloud yang diperlukan mendukung kelompok sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Kelompok Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada kelompok sumber daya, lihat Gunakan Kelompok Sumber Daya untuk Memberikan Izin kepada Pengguna RAM agar Dapat Mengelola Instance ECS Tertentu.
2. Konfigurasikan parameter Pihak yang Berwenang.
  Pihak yang berwenang adalah Pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.
3. Konfigurasikan parameter Kebijakan.
  Kebijakan berisi satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami menyarankan agar Anda tidak memberikan izin yang tidak perlu dengan menyambungkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
4. Klik Grant permissions.
Klik Close.

Catatan

Setelah masuk ke Konsol Container Registry sebagai Pengguna RAM, Anda dapat melakukan operasi di namespace yang diizinkan untuk diakses oleh Pengguna RAM. Sebagai contoh, Anda dapat membangun, mendorong, dan menarik gambar.