Creación de una política personalizada
Se pueden crear políticas personalizadas para complementar las políticas definidas por el sistema de MRS. Para ver las acciones que se pueden agregar a las políticas personalizadas, consulte Políticas de permisos y acciones admitidas.
Puede crear las políticas personalizadas de cualquiera de las siguientes maneras:
- Editor visual: Seleccione servicios en la nube, acciones, recursos y condiciones de solicitud. Esto no requiere conocimiento de la sintaxis de políticas.
- JSON: Edite las políticas de JSON desde cero o basándose en una política existente.
Para obtener más información, consulte Creación de una política personalizada.
![](https://support.huaweicloud.com/intl/es-us/usermanual-mrs/public_sys-resources/note_3.0-es-us.png)
Las modificaciones de políticas personalizadas no surten efecto inmediatamente. Tiene que esperar unos 15 minutos.
Esta sección proporciona ejemplos de políticas personalizadas.
Ejemplo de las políticas personalizadas
- Ejemplo 1: Permitir a los usuarios crear clústeres MRS únicamente
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create", "ecs:*:*", "bms:*:*", "evs:*:*", "vpc:*:*", "smn:*:*" ] } ] }
- Ejemplo 2: Permitir a los usuarios cambiar el tamaño de un clúster MRS
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:resize" ] } ] }
- Ejemplo 3: Permitir a los usuarios crear un clúster, crear y ejecutar un trabajo y eliminar un solo trabajo, pero denegar la eliminación del clúster
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create", "mrs:job:submit", "mrs:job:delete" ] }, { "Effect": "Deny", "Action": [ "mrs:cluster:delete" ] } ] }
- Ejemplo 4: Permitir a los usuarios crear un clúster de ECS con el permiso mínimo
- Si necesita un par de claves para crear un clúster, agregue los siguientes permisos: ecs:serverKeypairs:get y ecs:serverKeypairs:list.
- Agregue el permiso kms:cmk:list al cifrar discos de datos durante la creación del clúster.
- Agregue el permiso mrs:alarm:subscribe para habilitar la función de alarma durante la creación del clúster.
- Agregue el permiso rds:instance:list para usar orígenes de datos externos durante la creación del clúster.
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create" ] }, { "Effect": "Allow", "Action": [ "ecs:cloudServers:updateMetadata", "ecs:cloudServerFlavors:get", "ecs:cloudServerQuotas:get", "ecs:servers:list", "ecs:servers:get", "ecs:cloudServers:delete", "ecs:cloudServers:list", "ecs:serverInterfaces:get", "ecs:serverGroups:manage", "ecs:servers:setMetadata", "ecs:cloudServers:get", "ecs:cloudServers:create" ] }, { "Effect": "Allow", "Action": [ "vpc:securityGroups:create", "vpc:securityGroupRules:delete", "vpc:vpcs:create", "vpc:ports:create", "vpc:securityGroups:get", "vpc:subnets:create", "vpc:privateIps:delete", "vpc:quotas:list", "vpc:networks:get", "vpc:publicIps:list", "vpc:securityGroups:delete", "vpc:securityGroupRules:create", "vpc:privateIps:create", "vpc:ports:get", "vpc:ports:delete", "vpc:publicIps:update", "vpc:subnets:get", "vpc:publicIps:get", "vpc:ports:update", "vpc:vpcs:list" ] }, { "Effect": "Allow", "Action": [ "evs:quotas:get", "evs:types:get" ] }, { "Effect": "Allow", "Action": [ "bms:serverFlavors:get" ] } ] }
- Ejemplo 5: Permitir a los usuarios crear un clúster de BMS con el permiso mínimo
- Si necesita un par de claves para crear un clúster, agregue los siguientes permisos: ecs:serverKeypairs:get y ecs:serverKeypairs:list.
- Agregue el permiso kms:cmk:list al cifrar discos de datos durante la creación del clúster.
- Agregue el permiso mrs:alarm:subscribe para habilitar la función de alarma durante la creación del clúster.
- Agregue el permiso rds:instance:list para usar orígenes de datos externos durante la creación del clúster.
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create" ] }, { "Effect": "Allow", "Action": [ "ecs:servers:list", "ecs:servers:get", "ecs:cloudServers:delete", "ecs:serverInterfaces:get", "ecs:serverGroups:manage", "ecs:servers:setMetadata", "ecs:cloudServers:create", "ecs:cloudServerFlavors:get", "ecs:cloudServerQuotas:get" ] }, { "Effect": "Allow", "Action": [ "vpc:securityGroups:create", "vpc:securityGroupRules:delete", "vpc:vpcs:create", "vpc:ports:create", "vpc:securityGroups:get", "vpc:subnets:create", "vpc:privateIps:delete", "vpc:quotas:list", "vpc:networks:get", "vpc:publicIps:list", "vpc:securityGroups:delete", "vpc:securityGroupRules:create", "vpc:privateIps:create", "vpc:ports:get", "vpc:ports:delete", "vpc:publicIps:update", "vpc:subnets:get", "vpc:publicIps:get", "vpc:ports:update", "vpc:vpcs:list" ] }, { "Effect": "Allow", "Action": [ "evs:quotas:get", "evs:types:get" ] }, { "Effect": "Allow", "Action": [ "bms:servers:get", "bms:servers:list", "bms:serverQuotas:get", "bms:servers:updateMetadata", "bms:serverFlavors:get" ] } ] }
- Ejemplo 6: Permitir a los usuarios crear un clúster de ECS y BMS híbrido con el permiso mínimo
- Si necesita un par de claves para crear un clúster, agregue los siguientes permisos: ecs:serverKeypairs:get y ecs:serverKeypairs:list.
- Agregue el permiso kms:cmk:list al cifrar discos de datos durante la creación del clúster.
- Agregue el permiso mrs:alarm:subscribe para habilitar la función de alarma durante la creación del clúster.
- Agregue el permiso rds:instance:list para usar orígenes de datos externos durante la creación del clúster.
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create" ] }, { "Effect": "Allow", "Action": [ "ecs:cloudServers:updateMetadata", "ecs:cloudServerFlavors:get", "ecs:cloudServerQuotas:get", "ecs:servers:list", "ecs:servers:get", "ecs:cloudServers:delete", "ecs:cloudServers:list", "ecs:serverInterfaces:get", "ecs:serverGroups:manage", "ecs:servers:setMetadata", "ecs:cloudServers:get", "ecs:cloudServers:create" ] }, { "Effect": "Allow", "Action": [ "vpc:securityGroups:create", "vpc:securityGroupRules:delete", "vpc:vpcs:create", "vpc:ports:create", "vpc:securityGroups:get", "vpc:subnets:create", "vpc:privateIps:delete", "vpc:quotas:list", "vpc:networks:get", "vpc:publicIps:list", "vpc:securityGroups:delete", "vpc:securityGroupRules:create", "vpc:privateIps:create", "vpc:ports:get", "vpc:ports:delete", "vpc:publicIps:update", "vpc:subnets:get", "vpc:publicIps:get", "vpc:ports:update", "vpc:vpcs:list" ] }, { "Effect": "Allow", "Action": [ "evs:quotas:get", "evs:types:get" ] }, { "Effect": "Allow", "Action": [ "bms:servers:get", "bms:servers:list", "bms:serverQuotas:get", "bms:servers:updateMetadata", "bms:serverFlavors:get" ] } ] }