如果系統權限原則不能滿足您的要求,您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控,是提升資源訪問安全的有效手段。
什麼是自訂權限原則
在基於RAM的存取控制體系中,自訂權限原則是指在系統權限原則之外,您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。
建立自訂權限原則後,需為RAM使用者、使用者組或RAM角色綁定權限原則,這些RAM身份才能獲得權限原則中指定的存取權限。
已建立的權限原則支援刪除,但刪除前需確保該策略未被引用。如果該權限原則已被引用,您需要在該權限原則的引用記錄中移除授權。
自訂權限原則支援版本控制,您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。
操作文檔
授權資訊參考
使用自訂權限原則,您需要瞭解業務的許可權管控需求,並瞭解計算巢服務的授權資訊。詳細內容,請參見服務商側授權資訊、使用者側授權資訊。
自訂權限原則樣本
樣本1:禁止RAM使用者在計算巢服務商戶側中執行刪除操作。
為了增強系統安全性並防止誤操作導致的服務和資料丟失,可使用此策略以禁止RAM使用者在計算巢服務的商戶側執行任何刪除操作。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "computenestsupplier:DeleteService", "computenestsupplier:DeleteServiceInstances", "computenestsupplier:DeleteArtifact", "computenestsupplier:DeleteAcrImageRepositories", "computenestsupplier:DeleteAcrImageTags", "computenestsupplier:DeleteDataset", "computenestsupplier:DeleteDatasetAsset", "computenestsupplier:DeleteServiceTestCase", "computenestsupplier:DeleteVirtualInternetService", "computenestsupplier:DeleteVirtualInternetEndpoint", "computenestsupplier:DeleteVirtualInternetSupplierDomain" ], "Resource": [ "*" ], "Condition": {} } ] }樣本2:僅允許RAM使用者在計算巢服務使用者側中,對服務執行個體的相關資訊進行查看。
當前服務執行個體的配置資訊允許被RAM使用者查看,同時限制了修改、刪除等操作許可權,確保服務執行個體的穩定與安全性。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "computenest:GetServiceInstance", "computenest:GetServiceInstanceSubscriptionEstimateCost", "computenest:ListServiceInstanceActionTrailEvents", "computenest:ListServiceInstanceBill", "computenest:ListServiceInstanceResources", "computenest:ListServiceInstanceUpgradeHistory", "computenest:ValidateServiceInstanceName", "computenest:ListServiceInstanceDatasetAutoExportConfigs", "computenest:ListServiceInstanceLogs", "computenest:ListServiceInstances" ], "Resource": [ "*" ], "Condition": {} } ] }