閱讀724 返回首頁    go 阿裏雲 go 技術社區[雲棲]

創建自定義授權策略__快速入門_訪問控製-阿裏雲

流程位置

Step 4

創建客戶自定義的授權策略

進入RAM控製台,在導航欄中選擇“授權策略管理”,您可以查看“係統授權策略”和“自定義授權策略”。如下圖所示:

授權策略概覽

目前,阿裏雲提供了多種係統授權策略可供用戶選擇使用。這些授權策略僅僅提供了粗粒度的訪問控製能力,比如某個雲產品級別的隻讀權限或所有權限。如果您有更細粒度的授權需求,比如授權用戶bob隻能對oss://sample_bucket/bob/下的所有對象執行隻讀操作、而且限製IP來源必須為您的公司網絡(可以通過搜索引擎查詢“我的IP”來獲知您的公司網絡IP地址),那麼您可以通過創建自定義授權策略來進行訪問控製。

在創建自定義授權策略時,您需要了解授權策略語言的基本結構和語法,相關內容的詳細描述請參考授權策略語言描述

在了解授權策略語言之後,您通過RAM控製台可以很方便地創建自定義的授權策略。具體步驟如下:

步驟1. 點擊“新建授權策略”,打開新建授權策略彈窗:

選擇策略模板

步驟2. 選擇一個模板(這裏選擇AliyunOSSReadOnlyAccess),我們可以基於這個模板進行Policy編輯,如下圖所示:

編輯自定義策略

我們修改了自定義的授權策略名稱,備注和策略內容。上圖策略內容中的選中部分是我們新增的細粒度授權限製內容。

自定義策略樣例:

  1. {
  2.   "Version": "1",
  3.   "Statement": [
  4.     {
  5.       "Effect": "Allow",
  6.       "Action": [
  7.         "oss:Get*",
  8.         "oss:List*"
  9.       ],
  10.       "Resource": [
  11.           "acs:oss:*:*:samplebucket/bob/*"
  12.       ]
  13.       "Condition": {
  14.         "IpAddress": {
  15.           "acs:SourceIp": "127.0.27.1"
  16.         }
  17.       }
  18.     }
  19.   ]
  20. }

RAM最細可以支持各產品API粒度的授權,即Policy中的Action可以精細到每個API操作。不同雲產品的權限定義,需要參考各產品的權限定義文檔

步驟3. 策略內容編輯完成後,點擊 “新建授權策略” 即可新建自定義授權策略。

如果將這個自定義的授權策略附加給用戶bob,那麼bob對oss://samplebucket/bob/下的對象有隻讀操作權限,但限製條件是必須從您的公司網絡(假設為121.0.27.1)進行訪問。

最後更新:2016-12-12 16:43:34

  上一篇:go 創建RAM用戶__快速入門_訪問控製-阿裏雲
  下一篇:go 給RAM用戶授權__快速入門_訪問控製-阿裏雲