Resource Orchestration Service自訂權限原則參考 - Resource Orchestration Service

如果系統權限原則不能滿足您的要求，您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控，是提升資源訪問安全的有效手段。本文介紹Resource Orchestration Service使用自訂權限原則的情境和策略樣本。

什麼是自訂權限原則

在基於RAM的存取控制體系中，自訂權限原則是指在系統權限原則之外，您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。

建立自訂權限原則後，需為RAM使用者、使用者組或RAM角色綁定權限原則，這些RAM身份才能獲得權限原則中指定的存取權限。
已建立的權限原則支援刪除，但刪除前需確保該策略未被引用。如果該權限原則已被引用，您需要在該權限原則的引用記錄中移除授權。
自訂權限原則支援版本控制，您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。

操作文檔

常見自訂權限原則情境及樣本

樣本一：查看資源棧列表

以下策略表示：RAM使用者可以查看北京地區的所有資源棧列表和資源棧詳情。其中，星號（*）是萬用字元，表示北京地區的所有資源棧。

{
  "Statement": [
    {
      "Action": [
        "ros:DescribeStacks",
        "ros:DescribeStackDetail"
      ],
      "Effect": "Allow",
      "Resource": "acs:ros:cn-beijing:*:stack/*"
    }
  ],
  "Version": "1"
}

樣本二：建立和查看資源棧

以下策略表示：RAM使用者可以在所有地區建立和查看資源棧。

{
  "Statement": [
    {
      "Action": [
        "ros:CreateStack",
        "ros:DescribeStacks",
        "ros:DescribeStackDetail",
        "ros:ValidateTemplate"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

樣本三：更新資源棧

以下策略表示：RAM使用者12345****可以更新資源棧94dd5431-2df6-4415-81ca-732a7082****。

{
  "Statement": [
    {
      "Action": [
        "ros:UpdateStack"
      ],
      "Effect": "Allow",
      "Resource": "acs:ros:cn-beijing:12345****:stack/94dd5431-2df6-4415-81ca-732a7082****"
    }
  ],
  "Version": "1"
}

樣本四：訪問ROS的所有功能和資源
當ROS通過阿里雲STS（Security Token Service）和不通過STS進行臨時授權訪問時，以下策略均表示RAM使用者當前IP網段為42.120.XX.XX/24、且正在使用HTTPS訪問阿里雲控制台或API時，可以訪問ROS所有功能和資源，但不能訪問其他雲端服務。說明：
- acs:SourceIp取值為42.120.XX.XX/24，表示通過指定IP網段（42.120.XX.XX/24）訪問阿里雲。
- acs:SecureTransport取值為true，表示通過HTTPS方式訪問阿里雲。
```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ros:*",
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "42.120.XX.XX/24"
        },
        "Bool": {
          "acs:SecureTransport": "true"
        }
      }
    }
  ],
  "Version": "1"
}
```
樣本五：訪問ROS的所有功能和資源，並設定是否支援訪問ECS
- 當ROS通過STS進行臨時授權訪問時，由於STS情境下無法透傳acs:SourceIp和acs:SecureTransport，因此以下策略表示RAM使用者當前IP網段為42.120.XX.XX/24、且正在使用HTTPS訪問阿里雲控制台或API時，可以訪問ROS所有功能和資源，但不能訪問其他服務，包括ECS。
- 當ROS不通過STS進行臨時授權訪問時，以下策略表示RAM使用者當前IP網段為42.120.XX.XX/24、且正在使用HTTPS訪問阿里雲控制台或API時，可以訪問ROS和ECS所有功能和資源，但不能訪問其他服務。
  說明
  當ROS不通過STS進行臨時授權訪問時，支援透傳acs:SourceIp和acs:SecureTransport的服務為：Elastic Compute Service、專用網路VPC、Server Load Balancer、阿里雲關係型資料庫RDS、雲資料庫Tair（相容 Redis）、雲解析PrivateZone、Container ServiceKubernetes版ACK、Function ComputeFC、Object Storage Service、Log ServiceSLS、API Gateway和Action Trail。
```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ros:*",
        "ecs:*"
      ],
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "42.120.XX.XX/24"
        },
        "Bool": {
          "acs:SecureTransport": "true"
        }
      }
    }
  ],
  "Version": "1"
}
```

樣本六：通過標籤鑒權來訪問和操作ROS的資源

以下策略表示：允許RAM使用者管理帶有標籤對{"Enviroment": "TEST"}的ROS資源。

{
  "Statement": [
    {
      "Action": "ros:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "acs:ResourceTag/Enviroment": "TEST"
        }
      }
    }
  ],
  "Version": "1"
}

授權資訊參考

使用自訂權限原則，您需要瞭解業務的許可權管控需求，並瞭解Resource Orchestration Service的授權資訊。詳細內容請參見授權資訊。