更新时间:2022-12-05 GMT+08:00

创建ServiceStage自定义策略

如果系统预置的ServiceStage权限,不满足您的授权要求,可以创建自定义策略。

目前支持以下两种方式创建自定义策略:

  • 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
  • JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。

具体创建步骤请参见:创建自定义策略。本章为您介绍常用的ServiceStage自定义策略样例。

自定义策略样例

如下以定制一个IAM用户禁止创建及删除微服务引擎的策略为例。
{
        "Version": "1.1",
        "Statement": [
                {
                        "Action": [
                                "cse:*:*"
                        ],
                        "Effect": "Allow"
                },
                {
                        "Action": [
                                "cse:engine:create",
                                "cse:engine:delete"
                        ],
                        "Effect": "Deny"
                }
        ]
}

拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。

权限授予成功后,用户可以通过控制台以及REST API等多种方式验证。

此处以上述自定义策略为例,介绍用户如何通过登录ServiceStage控制台验证自定义禁止创建微服务引擎的权限:

  1. 使用新创建的用户登录云服务控制台,登录方法选择为“IAM用户”。
    • 租户名为该IAM用户所属云服务帐号的名称。
    • IAM用户名和IAM用户密码为以租户名在IAM创建用户时输入的用户名和密码。
  2. 在“基础设施 > 微服务引擎(CSE)”页面,创建微服务引擎,返回403错误,表示权限配置正确并已生效。