如果RAM提供的系统策略无法满足您的业务需求,您可以通过创建自定义策略实现的精细化权限管理(例如实例或操作级别的授权)。
背景信息
访问控制RAM(Resource Access Management)是阿里云提供的一项管理用户身份与资源访问权限的服务。通过RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。
适用场景
- 授权RAM用户管理指定实例或所有实例。
- 授权RAM用户管理指定实例,且只允许执行特定操作(例如只允许设置白名单)。
说明 在上述场景的基础上,RAM还支持配置授权生效的限制条件,例如:
通过指定的IP地址访问阿里云。
如果无需精细化的权限管理,您可以为RAM用户授权系统策略。更多信息,请参见通过系统策略授权RAM用户管理Redis实例。
步骤一:创建自定义权限策略
- 配置自定义策略信息。
图 1. 创建自定义策略 
配置 说明 策略名称 填入具备业务意义的名称以便后续识别,本案例填入redis-custom-policy。 备注(可选) 填入该策略的备注信息。 配置模式 推荐使用脚本配置,可支持更大的配置自由度。本文以脚本配置为例介绍配置方法。 说明 如果选择 可视化配置,您需要根据界面提示,对权限效力、操作名称和资源等进行配置。策略内容 本案例介绍自定义策略,无需导入系统已有的策略。您需要填入具体的权限策略信息,本表格下方为您列出了一些常见的自定义权限策略供您参考。 常见的自定义权限策略如下,您只需将下述代码中的
Redis实例ID替换为真实的Redis实例ID。说明- 策略内容需要使用特定的语法结构来表示,用来精确地描述被授权的资源集、操作集以及授权条件。更多信息,请参见权限策略基本元素和权限策略语法和结构。
- 云数据库Redis支持资源(Resource)和操作(Action)级别的授权。关于授权支持的操作(Action),请参见可对资源进行授权的Action。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:*", "Resource": "acs:kvstore:*:*:instance/Redis实例ID", "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:*", "Resource": [ "acs:kvstore:*:*:instance/Redis实例ID", "acs:kvstore:*:*:instance/Redis实例ID" ], "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:ModifySecurityIps", "Resource": "acs:kvstore:*:*:instance/Redis实例ID", "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:ModifySecurityIps", "Resource": [ "acs:kvstore:*:*:instance/Redis实例ID", "acs:kvstore:*:*:instance/Redis实例ID" ], "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }- 示例1:为单个Redis实例授予所有权限
- 示例2:为多个Redis实例授予所有权限
- 示例3:为单个Redis实例授予修改白名单权限
- 示例4:为多个Redis实例授予修改白名单权限
步骤二:为RAM用户授予自定义权限策略
- 找到目标RAM用户,单击其操作列的添加权限。
图 2. 添加权限 
- 在弹出的对话框中,配置授权信息。
图 3. 添加自定义权限 