如果RAM提供的系统策略无法满足您的业务需求,您可以通过创建自定义策略实现的精细化权限管理(例如实例或操作级别的授权)。

背景信息

访问控制RAM(Resource Access Management)是阿里云提供的一项管理用户身份与资源访问权限的服务。通过RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。

适用场景

  • 授权RAM用户管理指定实例或所有实例。
  • 授权RAM用户管理指定实例,且只允许执行特定操作(例如只允许设置白名单)。
说明 在上述场景的基础上,RAM还支持配置授权生效的限制条件,例如:通过指定的IP地址访问阿里云

如果无需精细化的权限管理,您可以为RAM用户授权系统策略。更多信息,请参见通过系统策略授权RAM用户管理Redis实例

步骤一:创建自定义权限策略

  1. 登录RAM控制台
  2. 在左侧导航栏,单击权限管理 > 权限策略管理
  3. 单击创建权限策略
  4. 配置自定义策略信息。
    图 1. 创建自定义策略
    创建自定义策略
    配置 说明
    策略名称 填入具备业务意义的名称以便后续识别,本案例填入redis-custom-policy
    备注(可选) 填入该策略的备注信息。
    配置模式 推荐使用脚本配置,可支持更大的配置自由度。本文以脚本配置为例介绍配置方法。
    说明 如果选择可视化配置,您需要根据界面提示,对权限效力、操作名称和资源等进行配置。
    策略内容 本案例介绍自定义策略,无需导入系统已有的策略。您需要填入具体的权限策略信息,本表格下方为您列出了一些常见的自定义权限策略供您参考。

    常见的自定义权限策略如下,您只需将下述代码中的Redis实例ID替换为真实的Redis实例ID。

    说明
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "kvstore:*",
                "Resource": "acs:kvstore:*:*:instance/Redis实例ID",
                "Condition": {}
            },
            {
                "Action": "kvstore:Describe*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "kvstore:*",
                "Resource": [
                    "acs:kvstore:*:*:instance/Redis实例ID",
                    "acs:kvstore:*:*:instance/Redis实例ID"
                ],
                "Condition": {}
            },
            {
                "Action": "kvstore:Describe*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "kvstore:ModifySecurityIps",
                "Resource": "acs:kvstore:*:*:instance/Redis实例ID",
                "Condition": {}
            },
            {
                "Action": "kvstore:Describe*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "kvstore:ModifySecurityIps",
                "Resource": [
                    "acs:kvstore:*:*:instance/Redis实例ID",
                    "acs:kvstore:*:*:instance/Redis实例ID"
                ],
                "Condition": {}
            },
            {
                "Action": "kvstore:Describe*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
    • 示例1:为单个Redis实例授予所有权限
    • 示例2:为多个Redis实例授予所有权限
    • 示例3:为单个Redis实例授予修改白名单权限
    • 示例4:为多个Redis实例授予修改白名单权限

  5. 单击确定

步骤二:为RAM用户授予自定义权限策略

  1. 登录RAM控制台
  2. 创建RAM用户
  3. 在左侧导航栏,单击身份管理 > 用户
  4. 找到目标RAM用户,单击其操作列的添加权限
    图 2. 添加权限
    单击添加权限
  5. 在弹出的对话框中,配置授权信息。
    图 3. 添加自定义权限
    添加自定义权限
    1. 选择授权范围。
      说明 选择为指定资源组时,您还需要在下拉框中选择目标资源组。关于资源组的概念和说明,请参见资源组
    2. 选择权限为自定义策略
    3. 在文本框中输入在步骤一中创建的权限策略名称,本案例输入redis-custom-policy
    4. 单击目标权限策略名称,将其添加到已选择区域框中。
  6. 单击确定
  7. 单击完成

后续步骤

RAM用户登录控制台