您可以建立自訂權限原則,實現精微調權限管理。
建立方式
-
RAM提供所見即所得 (WYSIWYG)的可視化編輯介面,您只需選擇效果、雲端服務、操作、資源和條件,就可以產生自訂權限原則。同時,提供的智能校正功能,協助您提高權限原則的正確性和有效性。該方式操作簡單,易於上手。
-
RAM提供JSON指令碼編輯介面,您需要按照權限原則文法和結構編寫自訂權限原則。該方式使用靈活,適用於對權限原則文法比較熟悉的使用者。
-
-
匯入原則範本:基於長期的業務實踐,RAM提供了常見情境的權限原則模板。例如:系統管理員、財務人員、網路系統管理員等。您只需要匯入合適的權限原則模板,然後基於模板進行簡單修改,就能一鍵輕鬆建立自訂策略。
-
匯入系統策略:您可以通過匯入一個系統原則範本,然後基於正常化的系統原則範本修改適合實際業務的內容,更加方便快捷地建立自訂權限原則。
-
通過可視化編輯模式建立自訂權限原則
-
使用Resource Access Management員登入RAM控制台。
-
在左側導覽列,選擇。
-
在权限策略頁面,單擊创建权限策略。
-
在创建权限策略頁面,單擊可視化編輯頁簽。
可視化編輯器顯示策略語句表單,包含以下欄位:Effect(必填,可選 Allow 或 Deny,預設為 Allow)、Service(必填)、Action(必填)、Resource(必填)和 Condition(非必填)。需先選擇服務後才能配置 Action、Resource 和 Condition。頁面底部可通過 Add Statement 添加更多策略語句。
-
配置權限原則。
關於權限原則基本元素的詳情,請參見權限原則基本元素。
-
在效果地區,選擇允许或拒绝。
-
在服務地區,選擇雲端服務。
說明支援可視化編輯模式的雲端服務以控制台介面顯示為準。
-
在操作地區,選擇全部操作或指定操作。
系統會根據您上一步選擇的雲端服務,自動篩選出可以配置的操作。如果您選擇了指定操作,您需要繼續選擇具體的操作。
-
在资源地區,選擇全部資源或指定资源。
系統會根據您上一步選擇的操作,自動篩選出可以配置的資源類型。如果您選擇了指定资源,您需要繼續單擊添加資源,配置具體的資源ARN。您可以使用匹配全部功能,快速選擇對應配置項的全部資源。
說明為了權限原則的正常生效,對操作關聯的必要資源ARN標識了必要,強烈建議您配置該資源ARN。
-
在條件地區,單擊添加條件,配置條件。
條件包括阿里雲通用條件和服務級條件,系統會根據您前面配置的雲端服務和操作,自動篩選出可以配置的條件列表。您只需要選擇對應條件鍵配置具體內容。
-
單擊添加語句,重複上述步驟,配置多條權限原則語句。
-
-
單擊頁面上方的優化策略,然後單擊執行,對權限原則內容進行進階最佳化。
進階權限原則最佳化功能會完成以下任務:
-
拆分不相容操作的資源或條件。
-
收縮資源到更小範圍。
-
去重或合并語句。
-
-
在创建权限策略頁面,單擊确定。
-
在创建权限策略對話方塊,輸入策略名稱稱和备注,然後單擊确定。
通過指令碼編輯模式建立自訂權限原則
-
使用Resource Access Management員登入RAM控制台。
-
在左側導覽列,選擇。
-
在权限策略頁面,單擊创建权限策略。
-
在创建权限策略頁面,單擊腳本編輯頁簽。
頁面顯示 JSON 編輯器,預設原則範本包含
Version(值為"1")和Statement數組,其中每條語句包括Effect(預設"Allow")、Action(待填寫)、Resource(待填寫)和Condition欄位。請根據實際需求在Action和Resource中填入對應的操作和資源。 -
輸入權限原則內容。
關於權限原則文法結構的詳情,請參見權限原則文法和結構。
-
單擊頁面上方的優化策略,然後單擊執行,對權限原則內容進行進階最佳化。
進階權限原則最佳化功能會完成以下任務:
-
拆分不相容操作的資源或條件。
-
收縮資源到更小範圍。
-
去重或合并語句。
-
-
在创建权限策略頁面,單擊确定。
-
在创建权限策略對話方塊,輸入策略名稱稱和备注,然後單擊确定。
通過匯入策略建立自訂權限原則
-
使用Resource Access Management員登入RAM控制台。
-
在左側導覽列,選擇。
-
在权限策略頁面,單擊创建权限策略。
-
在创建权限策略頁面,單擊導入策略。
-
在導入策略對話方塊右上方的下拉式清單中,選擇原則範本或系统策略,然後匯入策略。
-
選擇原則範本或系統策略。
-
部分原則範本需要根據實際業務配置模板參數。
-
選擇新匯入的權限原則模板的覆蓋規則。
預設新匯入的策略內容完全覆蓋已有的內容。您也可以選中不要覆蓋,追加新的語句到末尾,將新匯入的策略內容追加到已有內容的末尾。
-
單擊導入。
-
-
在可視化編輯或指令碼編輯模式下,查看和修改已匯入的權限原則內容。
-
單擊頁面上方的優化策略,然後單擊執行,對權限原則內容進行進階最佳化。
進階權限原則最佳化功能會完成以下任務:
-
拆分不相容操作的資源或條件。
-
收縮資源到更小範圍。
-
去重或合并語句。
-
-
在创建权限策略頁面,單擊确定。
-
在创建权限策略對話方塊,輸入策略名稱稱和备注,然後單擊确定。