Jika kebijakan sistem tidak memenuhi persyaratan Anda, Anda dapat membuat kebijakan kustom untuk menerapkan prinsip hak istimewa minimal. Kebijakan kustom memungkinkan manajemen izin yang lebih rinci dan meningkatkan keamanan akses sumber daya. Topik ini menjelaskan skenario umum penggunaan kebijakan kustom untuk Tair (Redis OSS-compatible) serta memberikan contoh.
Apa itu kebijakan kustom?
Kebijakan Manajemen Akses Sumber Daya (RAM) terdiri dari kebijakan sistem dan kebijakan kustom. Anda dapat mengelola kebijakan kustom sesuai dengan kebutuhan bisnis Anda.
Setelah membuat kebijakan kustom, Anda harus melampirkannya ke pengguna RAM, grup pengguna RAM, atau peran RAM agar izin yang ditentukan dalam kebijakan dapat diberikan kepada subjek utama.
Anda dapat menghapus kebijakan RAM yang tidak dilampirkan pada subjek utama. Namun, jika kebijakan RAM telah dilampirkan, Anda harus melepasnya terlebih dahulu sebelum menghapusnya.
Kebijakan kustom mendukung kontrol versi. Anda dapat mengelola versi kebijakan kustom menggunakan mekanisme manajemen versi yang disediakan oleh RAM.
Referensi
Skenario umum dan contoh
Kode berikut menunjukkan contoh kebijakan kustom yang umum digunakan. Gantilah ID Instance dalam kode dengan ID instance aktual Anda.
Izin manajemen penuh pada satu instance
Kebijakan berikut memberikan izin manajemen penuh pada instance yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:*", "Resource": "acs:kvstore:*:*:*/<Instance ID>", "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }Izin manajemen penuh pada beberapa instance
Kebijakan berikut memberikan izin manajemen penuh pada beberapa instance yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:*", "Resource": [ "acs:kvstore:*:*:*/<Instance ID>", "acs:kvstore:*:*:*/<Instance ID>" ], "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }Izin manajemen penuh pada instance dengan tag tertentu
Kebijakan berikut memberikan izin manajemen penuh pada instance dengan tag tertentu, seperti tag
TagKey:TagValue. Namun, Anda tidak dapat menambahkan atau menghapus tag.{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "kvstore:DescribeInstances", "kvstore:ListTagResources", "kvstore:DescribeParameterTemplates", "kvstore:DescribeHistoryMonitorValues", "sts:AssumeRole", "hdm:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "kvstore:TagResources", "kvstore:UntagResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": "kvstore:*", "Resource": "*", "Condition": { "StringEquals": { "acs:ResourceTag/TagKey": [ "TagValue" ] } } } ] }Izin untuk memodifikasi daftar putih untuk satu instance
Kebijakan berikut memberikan izin untuk memodifikasi daftar putih alamat IP dari instance yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:ModifySecurityIps", "Resource": "acs:kvstore:*:*:*/<Instance ID>", "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }Izin untuk analisis kunci offline
Kebijakan berikut memberikan izin untuk melakukan analisis kunci offline pada instance yang ditentukan:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "hdm:CreateCacheAnalysisTask", "hdm:DescribeCacheAnalysisReportList", "hdm:DescribeCacheAnalysisReport", "hdm:CreateCacheAnalysisJob", "hdm:DescribeCacheAnalysisJob", "hdm:DescribeCacheAnalysisJobs", "hdm:GetInstanceLatestBackup" ], "Resource": "acs:kvstore:*:*:instance/<Instance ID>", "Condition": {} }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "hdm.aliyuncs.com" } } } ] }
Referensi
Untuk menggunakan kebijakan kustom, Anda harus memahami persyaratan kontrol akses bisnis Anda dan informasi otorisasi tentang Tair (Redis OSS-compatible). Untuk informasi lebih lanjut, lihat Otorisasi RAM.