租户端 管理与审计 访问管理 操作指南 策略 授权指南

授权指南

最近更新时间: 2023-09-08 09:42:19

创建自定义策略
操作场景
本文档介绍如何通过不同的创建方式创建自定义策略,自定义策略允许作细粒度的权限划分,可以灵活满足用户的差异化权限管理需求。
前提条件
已登录访问管理控制台,进入 策略 管理页面。
操作步骤
按策略生成器创建
按策略生成器创建的策略,通过从策略向导中选择服务和操作,并定义资源,自动生成策略语法,简单灵活,优先推荐使用。

  1. 在策略管理页面,单击左上角的【新建自定义策略】。
  2. 在弹出的选择创建方式窗口中,单击【按策略生成器创建】,进入选择服务和操作页面。
  3. 在选择服务和操作页面,补充以下信息。
    o 服务(必选):选择需要添加的产品。
    o 操作(必选):选择您要授权的操作。
    o 资源(必填):填入您要授权的资源的资源六段式。授权粒度为操作级、服务级的云产品不支持填写具体资源六段式,填「*」即可,授权粒度为资源级的云产品资源描述方式请参阅 支持 CAM 的产品 中对应产品的「访问管理指南」文档。云产品支持的授权粒度请参阅 支持 CAM 的产品 中的「授权粒度」。
    o 条件(选填):设置子账号上述授权的生效条件。详细可参阅 生效条件。

说明
• 一条策略中可以添加多条声明。
4. 单击【添加声明】>【下一步】,进入编辑策略页面。
5. 在策略编辑页面,补充策略名称、描述信息,确认策略内容,其中策略名称和策略内容由控制台自动生成。
说明
• 策略名称默认为 "policygen" ,后缀数字根据创建日期生成。您可进行自定义。
• 策略内容与第 3 步的服务和操作对应,您可根据实际需求进行修改。
6. 单击【完成】,完成按策略生成器创建自定义策略的操作。
按标签授权
按标签授权的策略,将具有一类标签属性的资源快速授权给用户或用户组。

  1. 在策略管理页面,单击左上角的【新建自定义策略】。
  2. 在弹出的选择创建方式窗口中,单击【按标签授权】,进入按标签授权页面。
    o 赋予用户/用户组:勾选需要授权的用户/用户组。(可选其一)
    o 在标签键:选择需要授权的标签键。(必填项)
    o 且具有标签值:选择需要授权的标签值。(必填项)
    o 的资源:默认为管理权限。
  3. 在按标签授权页面选择以下信息,单击【下一步】,进入检查页面。
  4. 在检查页面,确认策略名称、策略内容后单击【完成】,完成按标签授权创建自定义策略操作。其中默认的策略名称和策略内容由控制台自动生成,策略名称默认为 "policygen",后缀数字根据创建日期生成。

授权管理
操作场景
本文档介绍如何通过策略关联用户/用户组和如何通过用户/用户组关联策略。关联成功后,用户/用户组将通过策略获得对应的权限。
前提条件
已登录访问管理控制台。
操作步骤
通过策略关联用户/用户组:
通过预设策略关联用户

  1. 在访问管理控制台,单击左侧【策略管理】,进入 策略 管理页面。
  2. 在策略管理页面,单击【策略类型】>【预设策略】,筛选预设策略,如下图所示:
  3. 找到需要授权的预设策略,单击右侧操作列的【关联用户/组】,如下图所示:
  4. 在弹出的关联用户/用户组窗口,单击【类型】>【用户】,如下图所示:
  5. 勾选要关联的用户,单击【确定】,完成通过预设策略关联用户操作。

通过预设策略关联用户组

  1. 在访问管理控制台,单击左侧【策略管理】,进入 策略管理页面。
  2. 在策略管理页面,单击左上角【策略类型】>【预设策略】,筛选预设策略,如下图所示:
  3. 找到需要授权的预设策略,单击右侧操作列的【关联用户/组】,如下图所示:
  4. 在弹出的关联用户/用户组窗口,单击【切换用户组】>【用户组】,如下图所示:
  5. 勾选要关联的用户组,单击【确定】,完成通过预设策略关联用户组操作。

自定义策略关联用户

  1. 在访问管理控制台,单击左侧【策略管理】,进入 策略管理页面。
  2. 在策略管理页面,单击左上角【策略类型】>【自定义策略】,筛选自定义策略,如下图所示:
  3. 找到需要授权的自定义策略,单击右侧操作列的【关联用户/组】,如下图所示:
  4. 在弹出的关联用户/用户组窗口,单击【切换用户组】>【用户】,如下图所示:
  5. 勾选要关联的用户,单击【确定】,完成通过自定义策略关联用户操作。

通过自定义策略关联用户组

  1. 在访问管理控制台,单击左侧【策略】,进入 策略管理页面。
  2. 在策略管理页面,单击左上角【策略类型】>【自定义策略】,筛选自定义策略,如下图所示:
  3. 找到需要授权的自定义策略,单击右侧操作列的【关联用户/组】,如下图所示:
  4. 在弹出的关联用户/用户组窗口,单击【切换用户组】>【用户组】,如下图所示:
  5. 勾选要关联的用户组,单击【确定】,完成通过自定义策略关联用户组操作。

通过用户/用户组关联策略: 通过用户关联策略

  1. 在访问管理控制台,单击左侧【用户管理】,进入 用户详情 页面。
  2. 在【已关联的策略】下面点击【关联策略】。
  3. 在策略列表中选择策略。
  4. 勾选需要授权的策略,单击【确定】,完成通过用户关联自定义策略操作。

通过用户组关联策略

  1. 在访问管理控制台,单击左侧【用户组】,进入 用户组管理页面。

  2. 找到需要授权的用户组,单击用户组名称,进入用户组详情页。

  3. 在用户组详情页,单击【已关联的策略】,进入权限设置页面。

  4. 在权限设置页面,单击【关联策略】。

  5. 在弹出的关联策略窗口中,单击【策略类型】>【预设策略】,筛选预设策略/自定义策略,如下图所示:

  6. 勾选需要授权的预设策略,单击【确定】,完成通过用户组关联预设策略操作。

限制IP访问
操作场景
本文档介绍如何通过自定义策略限制子账号访问 IP,设置成功后,子账号将通过所设置的 IP 管理主账号下的资源,或者拒绝子账号通过设置的 IP 管理主账号下资源。
前提条件
需要设置的产品支持按 IP 限制业务访问,详细可参考 常见问题。
操作步骤

  1. 进入 策略管理页面,单击左上角的【新建自定义策略】。
  2. 在弹出的选择创建方式窗口中,单击【按策略生成器创建】,进入选择服务和操作页面。
  3. 在选择服务和操作页面,补充以下信息。
    o 效果:必填项,选择 "允许"。如选择 "拒绝",用户或用户组不能获取授权。
    o 服务:必填项,选择需要添加的产品。
    o 操作:必填项,根据您的需求勾选产品权限。
    o 资源:必填项,您可以参考 资源描述方式填写。
    o 条件:根据您的需求选择条件,输入 IP 地址。可以添加多条限制。例如,效果选择"允许",仅限使用该 IP 地址的用户或组获取授权。

使用示例
以下示例表示用户必须在 10.217.182.3/24 或者 111.21.33.72/24 网段才能调用云 API 访问 cos:PutObject,如下图:

策略语法如下: