使用自訂權限原則實現許可權的精細化管理 - Auto Scaling

如果系統權限原則不能滿足您的要求，您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控，是提升資源訪問安全的有效手段。本文介紹Auto Scaling的自訂權限原則的概念和授權資訊。

什麼是自訂權限原則

在基於RAM的存取控制體系中，自訂權限原則是指在系統權限原則之外，您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。

建立自訂權限原則後，需為RAM使用者、使用者組或RAM角色綁定權限原則，這些RAM身份才能獲得權限原則中指定的存取權限。
已建立的權限原則支援刪除，但刪除前需確保該策略未被引用。如果該權限原則已被引用，您需要在該權限原則的引用記錄中移除授權。
自訂權限原則支援版本控制，您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。

操作文檔

常見自訂權限原則情境及樣本

樣本1：不允許建立不帶標籤的伸縮組

例如，僅當建立時為伸縮組1綁定environment:test和team:game1標籤後，伸縮組1才可以建立成功。

{
    "Effect": "Allow",
    "Action": "ess:Create*",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "acs:RequestTag/environment": "test",
            "acs:RequestTag/team": "game1"
        }
    }
}

樣本2：只允許操作綁定特定標籤的伸縮組

例如，伸縮組1綁定了environment:test和team:game1標籤，而伸縮組2綁定environment:dev和team:game2標籤，則以下自訂策略只允許操作伸縮組1。

{
    "Version": "1",
    "Statement": [
        {
            "Action": "ess:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/environment": "test",
                    "acs:ResourceTag/Team": "game1"
                }
            }
        },
        {
            "Action": "ess:*",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/environment": "dev",
                    "acs:ResourceTag/team": "game2"
                }
            }
        },      
        {
           "Effect": "Allow",
           "Action": [
                   "ess:DescribeRegions",
                   "ess:CreateScheduledTask",
                   "ess:ModifyScheduledTask",
                   "ess:DescribeScheduledTasks",
                   "ess:DeleteScheduledTask",
                   "ess:CreateAlarm",
                   "ess:DescribeAlarms",
                   "ess:ModifyAlarm",
                   "ess:EnableAlarm",
                   "ess:DeleteAlarm"
                ],
    "Resource": "*"
      }
   ]
}

樣本3：僅允許在特定地區下建立和操作伸縮組

例如，以下自訂權限原則僅允許您在華東1（杭州）地區下，通過Auto Scaling控制台或者調用API建立和操作伸縮組。而在華北2（北京）地區卻無法進行相應操作。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ess:*",
            "Resource": "acs:ess:cn-hangzhou:160998252992****:*"
        },
        {
            "Effect": "Deny",
            "Action": "ess:*",
            "Resource": "acs:ess:cn-beijing:160998252992****:*"
        },
        {  
           "Effect": "Allow",
           "Action": [
                   "ess:DescribeRegions",
                   "ess:CreateScheduledTask",
                   "ess:ModifyScheduledTask",
                   "ess:DescribeScheduledTasks",
                   "ess:DeleteScheduledTask",
                   "ess:CreateAlarm",
                   "ess:DescribeAlarms",
                   "ess:ModifyAlarm",
                   "ess:EnableAlarm",
                   "ess:DeleteAlarm"
                ],
            "Resource": "*"                       
        }
    ]
}

授權資訊參考

使用自訂權限原則，您需要瞭解業務的許可權管控需求，並瞭解Auto Scaling的授權資訊。更多資訊，請參見授權資訊。