新创建的RAM用户默认没有开通DCDN服务和变更计费方式的权限,通过访问控制RAM(Resource Access Management),您可以根据实际业务需求,授予RAM用户开通DCDN服务、变更计费方式的权限。

前提条件

您已创建RAM用户。如果未创建,请先创建RAM用户

背景信息

访问控制RAM是阿里云提供的一项管理用户身份与资源访问权限的服务,提供以下两种授权策略。通过系统策略,可授予RAM用户开通和变配权限;通过自定义策略,可授予RAM用户开通或变配、仅开通和变配等权限。
  • 系统策略

    由阿里云统一配置,不可修改,被授权的RAM用户将拥有管理整个DCDN的权限。通过系统策略,您可以快速完成授权配置。

  • 自定义策略

    您可以自主创建、更新授权策略,进行精细化授权,例如授予RAM用户开通或变配、仅开通和变配等权限。

权限类型介绍

如果您希望授予RAM用户不同的开通、变配权限,您可以根据本文介绍的方法为RAM用户授权。
说明 本文提到的变配均指变更计费方式。
权限类型 说明 相关文档
全局权限(包含开通和变配) 管理DCDN的权限,例如,配置缓存策略、回源配置等,包含开通DCDN服务和变更计费方式。 示例一:通过系统策略授权(开通和变配)
全局权限(不含开通) 管理DCDN的权限,例如,配置缓存策略、回源配置等,包含变更计费方式,不含开通DCDN服务。 示例二:通过自定义策略授权(开通或变配)
全局权限(不含变配) 管理DCDN的权限,例如,配置缓存策略、回源配置等,包含开通DCDN服务,不含变更计费方式。
仅开通权限 仅支持开通DCDN服务,不包含其他权限。
仅变配权限 仅支持变更计费方式,不包含其他权限。
仅开通和变配权限 仅支持开通DCDN服务和变更计费方式,不包含其他权限。 示例三:通过自定义策略授权(仅开通和变配)
全局权限(不含开通和变配) 管理DCDN的权限,例如,配置缓存策略、回源配置等,不含开通DCDN服务和变更计费方式。 示例四:通过自定义策略授权(除开通和变配)

示例一:通过系统策略授权(开通和变配)

  1. 登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 找到目标RAM用户,单击其操作列的添加权限
    添加权限
  4. 添加权限面板,配置授权信息。
    添加权限
    1. 授权应用范围选择整个云账号
      说明 授权RAM用户开通和变配权限需对整个云账号授权,如果只对指定资源组授权,开通和变配权限将不生效。
    2. 选择权限为系统策略
    3. 在文本框中输入DCDN,系统将自动展示与DCDN相关的系统权限策略。
    4. 单击AliyunDCDNFullAccess权限策略,添加到已选择区域框中。
  5. 单击确定
  6. 单击完成

示例二:通过自定义策略授权(开通或变配)

  1. 创建自定义权限策略。
    1. 登录RAM控制台
    2. 在左侧导航栏,选择权限管理 > 权限策略管理
    3. 单击创建权限策略
    4. 配置自定义权限策略。
      自定义权限策略
      配置项 说明
      策略名称 填入具备业务意义的名称以便后续识别,本文填入AliyunDcdntest
      备注 可选填,填入该策略的备注信息。
      配置模式 选择脚本配置
      策略内容 填入具体的权限策略信息,本表格下方列出了一些常见的自定义权限策略供您参考。
      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "dcdn:*",
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "dcdn:OpenDcdnService"
                  ],
                  "Resource": "*",
                  "Effect": "Deny"
              },
              {
                  "Action": "ram:CreateServiceLinkedRole",
                  "Resource": "*",
                  "Effect": "Allow",
                  "Condition": {
                      "StringEquals": {
                          "ram:ServiceName": [
                              "logdelivery.dcdn.aliyuncs.com"
                          ]
                      }
                  }
              }
          ]
      }
      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "dcdn:*",
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "dcdn:ModifyDcdnService"
                  ],
                  "Resource": "*",
                  "Effect": "Deny"
              },
              {
                  "Action": "ram:CreateServiceLinkedRole",
                  "Resource": "*",
                  "Effect": "Allow",
                  "Condition": {
                      "StringEquals": {
                          "ram:ServiceName": [
                              "logdelivery.dcdn.aliyuncs.com"
                          ]
                      }
                  }
              }
          ]
      }
      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "dcdn:OpenDcdnService"
                  ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "dcdn:ModifyDcdnService"
                  ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }

    5. 单击确定
  2. 为RAM用户授权。
    1. 登录RAM控制台
    2. 在左侧导航栏,选择身份管理 > 用户
    3. 找到目标RAM用户,单击其操作列的添加权限
      添加权限
    4. 添加权限面板,配置授权信息。
      添加权限 01
      配置项 说明
      授权应用范围 选择整个云账号
      说明 授权RAM用户开通和变配权限需对整个云账号授权,如果只对指定资源组授权,开通和变配权限将不生效。
      被授权主体 系统根据您选择的目标RAM用户已自动填充。
      选择权限 选择权限为自定义策略,在文本框中输入您在步骤一中创建的权限策略名称,本文输入AliyunDcdntest,并将其添加到已选择区域框中。
    5. 单击确定
    6. 单击完成

示例三:通过自定义策略授权(仅开通和变配)

  1. 创建自定义权限策略。
    1. 登录RAM控制台
    2. 在左侧导航栏,选择权限管理 > 权限策略管理
    3. 单击创建权限策略
    4. 配置自定义权限策略。
      授权01
      配置项 说明
      策略名称 填入具备业务意义的名称以便后续识别,本文填入AliyunDcdntest
      备注 可选填,填入该策略的备注信息。
      配置模式 选择脚本配置
      策略内容
      填入下方的自定义权限策略信息。
      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "dcdn:OpenDcdnService",
                       "dcdn:ModifyDcdnService"
                  ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    5. 单击确定
  2. 为RAM用户授权。
    1. 登录RAM控制台
    2. 在左侧导航栏,选择身份管理 > 用户
    3. 找到目标RAM用户,单击其操作列的添加权限
      添加权限
    4. 添加权限面板,配置授权信息。
      添加权限 01
      配置项 说明
      授权应用范围 选择整个云账号
      说明 授权RAM用户开通和变配权限需对整个云账号授权,如果只对指定资源组授权,开通和变配权限将不生效。
      被授权主体 系统根据您选择的目标RAM用户已自动填充。
      选择权限 选择权限为自定义策略,在文本框中输入您在步骤一中创建的权限策略名称,本文输入AliyunDcdntest,并将其添加到已选择区域框中。
    5. 单击确定
    6. 单击完成

示例四:通过自定义策略授权(除开通和变配)

  1. 创建自定义权限策略。
    1. 登录RAM控制台
    2. 在左侧导航栏,选择权限管理 > 权限策略管理
    3. 单击创建权限策略
    4. 配置自定义权限策略。
      授权02
      配置项 说明
      策略名称 填入具备业务意义的名称以便后续识别,本文填入AliyunDcdntest
      备注 可选填,填入该策略的备注信息。
      配置模式 选择脚本配置
      策略内容
      填入下方的自定义权限策略信息。
      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "dcdn:*",
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "dcdn:ModifyDcdnService",
                      "dcdn:OpenDcdnService"
                  ],
                  "Resource": "*",
                  "Effect": "Deny"
              },
              {
                  "Action": "ram:CreateServiceLinkedRole",
                  "Resource": "*",
                  "Effect": "Allow",
                  "Condition": {
                      "StringEquals": {
                          "ram:ServiceName": [
                              "logdelivery.dcdn.aliyuncs.com"
                          ]
                      }
                  }
              }
          ]
      }
    5. 单击确定
  2. 为RAM用户授权。
    1. 登录RAM控制台
    2. 在左侧导航栏,选择身份管理 > 用户
    3. 找到目标RAM用户,单击其操作列的添加权限
      添加权限
    4. 添加权限面板,配置授权信息。
      添加权限 01
      配置项 说明
      授权应用范围 选择整个云账号
      说明 授权RAM用户开通和变配权限需对整个云账号授权,如果只对指定资源组授权,开通和变配权限将不生效。
      被授权主体 系统根据您选择的目标RAM用户已自动填充。
      选择权限 选择权限为自定义策略,在文本框中输入您在步骤一中创建的权限策略名称,本文输入AliyunDcdntest,并将其添加到已选择区域框中。
    5. 单击确定
    6. 单击完成