Topik ini menjelaskan cara mengonfigurasi kontrol akses RAM saat menggunakan bucket OSS kustom dengan Container Registry.
Latar Belakang
-
Bucket OSS default
Saat menggunakan bucket OSS default yang disediakan oleh Container Registry, Anda harus memberi otorisasi kepada Container Registry untuk mengakses sumber daya cloud. Container Registry kemudian akan membuat bucket OSS dan menginisialisasi instans tersebut.
-
Bucket OSS kustom
Saat menggunakan bucket OSS kustom, Anda harus membuat peran RAM untuk Akun Alibaba Cloud Anda dan memberikan peran tersebut izin yang diperlukan untuk mengakses bucket tersebut, sehingga Container Registry dapat mengaksesnya.
Langkah 1: Buat peran RAM
Untuk mengizinkan Container Registry mengakses bucket OSS kustom, buat peran RAM bernama AliyunContainerRegistryCustomizedOSSBucketRole untuk Akun Alibaba Cloud Anda.
-
Masuk ke Konsol RAM sebagai administrator RAM.
-
Di panel navigasi sebelah kiri, pilih .
-
Pada halaman Roles, klik Create Role.
-
Pada halaman Create Role, pilih Cloud Service sebagai Principal Type. Lalu, pilih Container Registry dan klik Confirm.
-
Pada bidang Role Name, masukkan
AliyunContainerRegistryCustomizedOSSBucketRole, lalu klik Confirm.
Langkah 2: Konfigurasikan kebijakan akses
Konfigurasikan kebijakan akses untuk peran RAM guna memberikan izin mengakses sumber daya di bucket OSS yang ditentukan. Kebijakan akses harus diberi nama AliyunContainerRegistryCustomizedOSSBucketRolePolicy. Jika Anda perlu mengakses beberapa bucket OSS kustom, tambahkan beberapa entri bucket ke bagian Resource.
{
"Version": "1",
"Statement": [
{
"Action": [
"oss:GetObject",
"oss:PutObject",
"oss:DeleteObject",
"oss:ListParts",
"oss:AbortMultipartUpload",
"oss:InitiateMultipartUpload",
"oss:CompleteMultipartUpload",
"oss:DeleteMultipleObjects",
"oss:ListMultipartUploads",
"oss:ListObjects",
"oss:DeleteObjectVersion",
"oss:GetObjectVersion",
"oss:ListObjectVersions",
"oss:PutObjectTagging",
"oss:GetObjectTagging",
"oss:DeleteObjectTagging"
],
"Resource": [
"acs:oss:*:*:cri-*",
"acs:oss:*:*:cri-*/*",
"acs:oss:*:*:<YOUR_BUCKET_NAME>", # Ganti <YOUR_BUCKET_NAME> dengan nama bucket Anda.
"acs:oss:*:*:<YOUR_BUCKET_NAME>/*" # Ganti <YOUR_BUCKET_NAME> dengan nama bucket Anda.
],
"Effect": "Allow",
"Condition": {
}
},
{
"Action": [
"oss:PutBucket",
"oss:GetBucket",
"oss:GetBucketLocation",
"oss:PutBucketEncryption",
"oss:GetBucketEncryption",
"oss:PutBucketAcl",
"oss:GetBucketAcl",
"oss:PutBucketLogging",
"oss:GetBucketReferer",
"oss:PutBucketReferer",
"oss:GetBucketLogging",
"oss:PutBucketVersioning",
"oss:GetBucketVersioning",
"oss:GetBucketLifecycle",
"oss:PutBucketLifecycle",
"oss:DeleteBucketLifecycle",
"oss:GetBucketTransferAcceleration"
],
"Resource": [
"acs:oss:*:*:cri-*",
"acs:oss:*:*:cri-*/*",
"acs:oss:*:*:<YOUR_BUCKET_NAME>", # Ganti <YOUR_BUCKET_NAME> dengan nama bucket Anda.
"acs:oss:*:*:<YOUR_BUCKET_NAME>/*" # Ganti <YOUR_BUCKET_NAME> dengan nama bucket Anda.
],
"Effect": "Allow",
"Condition": {
}
},
{
"Effect": "Allow",
"Action": "oss:ListBuckets",
"Resource": [
"acs:oss:*:*:*",
"acs:oss:*:*:*/*"
],
"Condition": {
}
},
{
"Action": [
"vpc:DescribeVpcs"
],
"Resource": "acs:vpc:*:*:vpc/*",
"Effect": "Allow",
"Condition": {
}
},
{
"Action": [
"cms:QueryMetricLast",
"cms:QueryMetricList"
],
"Resource": "*",
"Effect": "Allow"
}
]
}