如果您需要限制RAM用户修改计费模式,可以通过访问控制RAM(Resource Access Management)的自定义策略实现。通过本文,您可以了解限制RAM用户修改计费模式的操作方法。

背景信息

阿里云CDN提供了RAM用户来实现不同业务之间的隔离操作,被赋予AliyunCDNFullAccess(管理CDN)权限的RAM用户默认拥有数据查看、域名功能管理和计费模式修改的权限。如果您需要限制RAM用户修改计费模式的权限,同时保留其他权限,可通过访问控制RAM自定义策略来实现。查看RAM用户权限,请参见查看RAM用户的权限

操作步骤

  1. 创建自定义权限策略。
    1. 使用阿里云账号登录RAM控制台
    2. 在左侧导航栏,选择权限管理 > 权限策略管理
    3. 权限策略管理页面,单击创建权限策略
    4. 新建自定义权限策略页面,配置自定义权限策略。新建自定义权限策略
      配置项 说明
      策略名称 填入具备业务意义的名称以便后续识别。例如,限制RAM用户修改计费模式。
      备注 (选填)填入该策略的备注信息。
      配置模式

      选择脚本配置,限制RAM用户修改计费模式的脚本内容如下:

      {
          "Statement": [
              {
                  "Action": "cdn:*",
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "cdn:OpenCdnService",
                      "cdn:ModifyCdnService"
                  ],
                  "Resource": "*",
                  "Effect": "Deny"
              },
              {
                  "Action": "ram:CreateServiceLinkedRole",
                  "Resource": "*",
                  "Effect": "Allow",
                  "Condition": {
                      "StringEquals": {
                          "ram:ServiceName": [
                              "cdn-waf.cdn.aliyuncs.com",
                              "cdn-ddos.cdn.aliyuncs.com"
                          ]
                      }
                  }
              }
          ],
          "Version": "1"
      }
      说明
      • 脚本中关于ActionResource的使用规则,请参见权限策略基本元素
      • 您还可以选择可视化配置,系统预置了添加授权语句,通过不同选项来实现权限配置。
      策略内容 填入具体的权限策略信息。
    5. 单击确定
  2. 为RAM用户授权。
    1. 使用阿里云账号登录RAM控制台
    2. (可选)创建RAM用户。具体操作,请参见创建RAM用户
      说明 如果您已经创建了RAM用户,可跳过该步骤。
    3. 在左侧导航栏,选择身份管理 > 用户
    4. 选择目标RAM用户,单击操作列的添加权限
    5. 在添加权限面板,配置授权信息。添加权限
      配置项 说明
      授权应用范围

      选择整个云账号,表示对应的权限应用范围为全局权限。

      被授权主体 系统根据您上一步选择的目标RAM用户,已自动匹配填写。
      选择权限

      选择自定义策略,找到您在创建自定义权限策略中已经创建的策略名称(例如,限制RAM用户修改计费模式),单击该策略名称,将其添加到已选择区域框中。

    6. 单击确定
    7. 单击完成