阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 1354阅读
  • 0回复

[云安全技术和产品专区 ]访问控制创建自定义授权策略(可选)

级别: 论坛粉丝
发帖
1227
云币
2325
目前,阿里提供了多种系统授权策略可供用户选择使用。这些授权策略仅仅提供了粗粒度的访问控制能力,比如某个云产品级别的只读权限或所有权限。 sbX7VfAR`  
如果您有更细粒度的授权需求,比如授权用户 bob 只能对 oss://sample_bucket/bob/ 下的所有对象执行只读操作,而且限制 IP 来源必须为您的公司网络(可以通过搜索引擎查询“我的 IP”来获知您的公司网络 IP 地址),那么您可以通过创建定义授权策略来进行访问控制。 n"aF#HR?0d  
本文以上述用户 bob 为例,介绍了创建自定义授权策略的方法,帮助您更好地理解和使用 RAM 进行精细粒度的访问控制。 ub fh4  
前提条件 T [xIn+w  
在创建自定义授权策略时,您需要了解授权策略语言的基本结构和语法,请参考 授权策略语言描述 {4A,&pR  
RAM 最细可以支持各产品 API 粒度的授权,即 Policy 中的 Action 可以精细到每个 API 操作。在创建自定义授权策略前,您需要了解有关产品所支持的授权粒度和授权方法,具体请参考 RAM 支持的云服务 J^CAQfcx  
操作步骤 P*?|E@;s`  
  1. 登录到 阿里云 RAM 控制台
  2. 点击左侧导航栏中的 [backcolor=transparent]策略管理。在 [backcolor=transparent]策略管理 页面,可通过 [backcolor=transparent]系统授权策略 和 [backcolor=transparent]自定义授权策略 子页,分别查看已有的系统和自定义策略。 0;T7fKj  
  3. 点击 [backcolor=transparent]新建授权策略,进入 [backcolor=transparent]创建授权策略 页面。
  4. 选择权限策略模板。 g(X `.0  
    [backcolor=transparent]注意:可以选择空白模板,但推荐使用类似的已有系统策略作为模板进行编辑。如本文我们以 具体 OSS 桶下资源的只读权限为例,这里选择 AliyunOSSReadOnlyAccess (账号下所有 OSS 资源的只读权限)作为模板。 IO9|o!&>  
  5. 基于选择的模板,编辑 Policy。 h%$^s0w  
    这里修改了授权策略名称,备注和策略内容。上图策略内容中的选中部分是新增的细粒度授权限制内容。其代码样例为:[backcolor=transparent] [backcolor=transparent]{
  6. [backcolor=transparent]   [backcolor=transparent]"Version"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"1"[backcolor=transparent],
  7. [backcolor=transparent]   [backcolor=transparent]"Statement"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  8. [backcolor=transparent]     [backcolor=transparent]{
  9. [backcolor=transparent]       [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
  10. [backcolor=transparent]       [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  11. [backcolor=transparent]         [backcolor=transparent]"oss:Get*"[backcolor=transparent],
  12. [backcolor=transparent]         [backcolor=transparent]"oss:List*"
  13. [backcolor=transparent]       [backcolor=transparent]],
  14. [backcolor=transparent]       [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
  15. [backcolor=transparent]           [backcolor=transparent]"acs:oss:*:*:samplebucket/bob/*"
  16. [backcolor=transparent]       [backcolor=transparent]]
  17. [backcolor=transparent]       [backcolor=transparent]"Condition"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]{
  18. [backcolor=transparent]         [backcolor=transparent]"IpAddress"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]{
  19. [backcolor=transparent]           [backcolor=transparent]"acs:SourceIp"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"127.0.27.1"
  20. [backcolor=transparent]         [backcolor=transparent]}
  21. [backcolor=transparent]       [backcolor=transparent]}
  22. [backcolor=transparent]     [backcolor=transparent]}
  23. [backcolor=transparent]   [backcolor=transparent]]
  24. [backcolor=transparent] [backcolor=transparent]}
u&c%L0)E&  
策略内容编辑完成后,点击 [backcolor=transparent]新建授权策略 完成创建。 &n_f.oUc  
至此,您已完成自定义授权策略的创建。 d>mZY66P  
后续操作 8rS;}Bt  
接下来只需将本文创建的策略授权给用户 bob,则 bob 会拥有对 oss://samplebucket/bob/ 下的对象的只读操作权限,且限制条件是必须从您的公司网络(假设为121.0.27.1)进行访问。 l3ogMRq@  
[ 此帖被反向一觉在2017-10-31 14:29重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 41 - 39 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)