全部產品
Search

搜尋本產品

    :RAM使用者授權樣本(開通、變更配置)

    文件中心

    :RAM使用者授權樣本(開通、變更配置)

    更新時間:Dec 11, 2024

    新建立的RAM使用者預設沒有開通DCDN服務和變更計費方式的許可權,通過存取控制RAM(Resource Access Management),您可以根據實際業務需求,授予RAM使用者開通DCDN服務、變更計費方式的許可權。

    前提條件

    您已建立RAM使用者。如果未建立,請先建立RAM使用者

    背景資訊

    存取控制RAM是阿里雲提供的一項系統管理使用者身份與資源存取權限的服務,提供以下兩種授權策略。通過系統策略,可授予RAM使用者開通和變更配置許可權;通過自訂策略,可授予RAM使用者開通或變更配置、僅開通和變更配置等許可權。

    • 系統策略

      由阿里雲統一配置,不可修改,被授權的RAM使用者將擁有管理整個DCDN的許可權。通過系統策略,您可以快速完成授權配置。

    • 自訂策略

      您可以自主建立、更新授權策略,進行精細化授權,例如授予RAM使用者開通或變更配置、僅開通和變更配置等許可權。

    權限類別型介紹

    如果您希望授予RAM使用者不同的開通、變更配置許可權,您可以根據本文介紹的方法為RAM使用者授權。

    說明

    本文提到的變更配置均指變更計費方式。

    權限類別型

    說明

    相關文檔

    全域許可權(包含開通和變更配置)

    管理DCDN的許可權,例如,配置緩衝策略、回源配置等,包含開通DCDN服務和變更計費方式。

    樣本一:通過系統策略授權(開通和變更配置)

    全域許可權(不含開通)

    管理DCDN的許可權,例如,配置緩衝策略、回源配置等,包含變更計費方式,不含開通DCDN服務。

    樣本二:通過自訂策略授權(開通或變更配置)

    全域許可權(不含變更配置)

    管理DCDN的許可權,例如,配置緩衝策略、回源配置等,包含開通DCDN服務,不含變更計費方式。

    僅開通許可權

    僅支援開通DCDN服務,不包含其他許可權。

    僅變更配置許可權

    僅支援變更計費方式,不包含其他許可權。

    僅開通和變更配置許可權

    僅支援開通DCDN服務和變更計費方式,不包含其他許可權。

    樣本三:通過自訂策略授權(僅開通和變更配置)

    全域許可權(不含開通和變更配置)

    管理DCDN的許可權,例如,配置緩衝策略、回源配置等,不含開通DCDN服務和變更計費方式。

    樣本四:通過自訂策略授權(除開通和變更配置)

    樣本一:通過系統策略授權(開通和變更配置)

    1. 登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

      image

      您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。

    4. 新增授權面板,配置授權資訊。

      添加許可權

      1. 授權應用範圍選取帳號層級

        說明

        授權RAM使用者開通和變更配置許可權需對帳號層級授權,如果只對資源群組層級授權,開通和變更配置許可權將不生效。

      2. 選擇許可權為系統策略

      3. 在文字框中輸入DCDN,系統將自動展示與DCDN相關的系統權限原則。

      4. 單擊AliyunDCDNFullAccess權限原則,添加到已選擇地區框中。

    5. 單擊確認新增授權

    6. 單擊關閉

    樣本二:通過自訂策略授權(開通或變更配置)

    1. 建立自訂權限原則。

      1. 登入RAM控制台

      2. 在左側導覽列,選擇許可權管理 > 權限原則

      3. 單擊建立權限原則

      4. 單擊指令碼編輯頁簽,配置自訂權限原則。

        圖 1. 指令碼編輯指令碼編輯

        自訂權限原則如下:

        全域許可權(不含開通)

        {
    "Version": "1",
    "Statement": [
        {
            "Action": "dcdn:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "dcdn:OpenDcdnService"
            ],
            "Resource": "*",
            "Effect": "Deny"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "logdelivery.dcdn.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

        全域許可權(不含變更配置)

        {
    "Version": "1",
    "Statement": [
        {
            "Action": "dcdn:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "dcdn:ModifyDcdnService"
            ],
            "Resource": "*",
            "Effect": "Deny"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "logdelivery.dcdn.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

        僅開通許可權

        {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dcdn:OpenDcdnService"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

        僅變更配置許可權

        {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dcdn:ModifyDcdnService"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

      5. 單擊確定,在彈出的對話方塊中輸入權限原則名稱備忘

        圖 2. 基本資料基本資料

        配置項

        說明

        名稱

        填入具備業務意義的名稱以便後續識別,本文填入AliyunDcdntest

        備忘

        可選填,填入該策略的備忘資訊。

      6. 檢查並最佳化權限原則內容。

        • 可選:進階策略最佳化

          您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:

          • 拆分不相容操作的資源或條件。

          • 收縮資源到更小範圍。

          • 去重或合并語句。

      7. 單擊確定

    2. 為RAM使用者授權。

      1. 登入RAM控制台

      2. 在左側導覽列,選擇身份管理 > 使用者

      3. 找到目標RAM使用者,單擊其操作列的添加許可權

        1

      4. 新增授權面板,配置授權資訊。

        添加許可權 01

        配置項

        說明

        授權應用範圍

        選擇帳號層級

        說明

        授權RAM使用者開通和變更配置許可權需對帳號層級授權,如果只對資源群組層級授權,開通和變更配置許可權將不生效。

        被授權主體

        系統根據您選擇的目標RAM使用者已自動填滿。

        選擇許可權

        選擇許可權為自訂策略,在文字框中輸入您在步驟一中建立的權限原則名稱,本文輸入AliyunDcdntest,並將其添加到已選擇地區框中。

      5. 單擊確認新增授權

      6. 單擊關閉

    樣本三:通過自訂策略授權(僅開通和變更配置)

    1. 建立自訂權限原則。

      1. 登入RAM控制台

      2. 在左側導覽列,選擇許可權管理 > 權限原則

      3. 單擊建立權限原則

      4. 單擊指令碼編輯頁簽,配置自訂權限原則。

        圖 3. 指令碼編輯指令碼編輯

        自訂權限原則如下:

        {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dcdn:OpenDcdnService",
                 "dcdn:ModifyDcdnService"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

      5. 單擊確定,在彈出的對話方塊中輸入權限原則名稱備忘

        圖 4. 基本資料基本資料

        配置項

        說明

        名稱

        填入具備業務意義的名稱以便後續識別,本文填入AliyunDcdntest

        備忘

        可選填,填入該策略的備忘資訊。

      6. 檢查並最佳化權限原則內容。

        • 可選:進階策略最佳化

          您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:

          • 拆分不相容操作的資源或條件。

          • 收縮資源到更小範圍。

          • 去重或合并語句。

      7. 單擊確定

    2. 為RAM使用者授權。

      1. 登入RAM控制台

      2. 在左側導覽列,選擇身份管理 > 使用者

      3. 找到目標RAM使用者,單擊其操作列的添加許可權

        1

      4. 新增授權面板,配置授權資訊。

        添加許可權 01

        配置項

        說明

        授權應用範圍

        選擇帳號層級

        說明

        授權RAM使用者開通和變更配置許可權需對帳號層級授權,如果只對資源群組層級授權,開通和變更配置許可權將不生效。

        被授權主體

        系統根據您選擇的目標RAM使用者已自動填滿。

        選擇許可權

        選擇許可權為自訂策略,在文字框中輸入您在步驟一中建立的權限原則名稱,本文輸入AliyunDcdntest,並將其添加到已選擇地區框中。

      5. 單擊確認新增授權

      6. 單擊關閉

    樣本四:通過自訂策略授權(除開通和變更配置)

    1. 建立自訂權限原則。

      1. 登入RAM控制台

      2. 在左側導覽列,選擇許可權管理 > 權限原則

      3. 單擊建立權限原則

      4. 單擊指令碼編輯頁簽,配置自訂權限原則。

        指令碼編輯

        自訂權限原則如下:

        {
    "Version": "1",
    "Statement": [
        {
            "Action": "dcdn:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "dcdn:ModifyDcdnService",
                "dcdn:OpenDcdnService"
            ],
            "Resource": "*",
            "Effect": "Deny"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "logdelivery.dcdn.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

      5. 單擊確定,在彈出的對話方塊中輸入權限原則名稱備忘

        圖 5. 基本資料基本資料

        配置項

        說明

        名稱

        填入具備業務意義的名稱以便後續識別,本文填入AliyunDcdntest

        備忘

        可選填,填入該策略的備忘資訊。

      6. 檢查並最佳化權限原則內容。

        • 可選:進階策略最佳化

          您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:

          • 拆分不相容操作的資源或條件。

          • 收縮資源到更小範圍。

          • 去重或合并語句。

      7. 單擊確定

    2. 為RAM使用者授權。

      1. 登入RAM控制台

      2. 在左側導覽列,選擇身份管理 > 使用者

      3. 找到目標RAM使用者,單擊其操作列的添加許可權

        1

      4. 新增授權面板,配置授權資訊。

        添加許可權 01

        配置項

        說明

        授權應用範圍

        選擇帳號層級

        說明

        授權RAM使用者開通和變更配置許可權需對帳號層級授權,如果只對資源群組層級授權,開通和變更配置許可權將不生效。

        被授權主體

        系統根據您選擇的目標RAM使用者已自動填滿。

        選擇許可權

        選擇許可權為自訂策略,在文字框中輸入您在步驟一中建立的權限原則名稱,本文輸入AliyunDcdntest,並將其添加到已選擇地區框中。

      5. 單擊確認新增授權

      6. 單擊關閉