更新时间:2024-07-26 GMT+08:00
创建自定义策略
系统预置的权限不能满足要求时,您可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。
可视化视图配置自定义策略
- 在统一身份认证服务的左侧导航窗格中,单击“策略”>“创建自定义策略”。
- 输入“策略名称”。
- “策略配置方式”选择“可视化视图”。
- 在“策略内容”下配置策略。
- 选择“允许”或“拒绝”。
- 选择“云服务”。
此处只能选择一个云服务,如需配置多个云服务的自定义策略,请在完成此条配置后,单击“添加权限”,创建多个服务的授权语句;或使用JSON视图配置自定义策略。
- 选择“操作”,根据需求勾选产品权限。
- 选择资源类型,如选择“特定类型”可以点击“通过资源路径指定”来指定需要授权的资源。
- (可选)添加条件,单击“添加条件”,选择“条件键”,选择“运算符”,根据运算符类型填写相应的值。
表1 条件参数 参数名称
参数说明
条件键
条件键表示策略语句的 Condition 元素中的键值。分为全局条件键和服务级条件键。全局级条件键(前缀为g:)适用于所有操作,服务级条件键(前缀为服务缩写,如obs:)仅适用于对应服务的操作。
运算符
与条件键一起使用,构成完整的条件判断语句。
值
与条件键和运算符一起使用,当运算符需要某个关键字时,需要输入关键字的值,构成完成的条件判断语句。
- (可选)在“策略配置方式”选择JSON视图,将可视化视图配置的策略内容转换为JSON语句,您可以在JSON视图中对策略内容进行修改。
如果您修改后的JSON语句有语法错误,将无法创建策略,可以自行检查修改内容或单击界面弹窗中的“重置”,将JSON文件恢复到未修改状态。
- (可选)如需创建多条自定义策略,请单击“添加权限”;也可在已创建的策略最右端单击“+”,复制此权限。
- 输入“策略描述”(可选)。
- 单击“确定”,自定义策略创建完成。
- 将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。
JSON视图配置自定义策略
- 在统一身份认证服务的左侧导航窗格中,单击“策略”>“创建自定义策略”。
- 输入“策略名称”。
- “策略配置方式”选择“JSON视图”。
- (可选)在“策略内容”区域,单击“从已有策略复制”,例如选择“VPC Admin”作为模板。
- 单击“确定”。
- 修改模板中策略授权语句。
- 作用(Effect):允许(Allow)和拒绝(Deny)。
- 权限集(Action):写入各服务API授权项列表中“授权项”的内容,例如:"evs:volumes:create",来实现细粒度授权。
- 自定义策略版本号(Version)固定为1.1,不可修改。
- (可选)输入“策略描述”。
- 单击“确定”,自定义策略创建完成,策略列表中显示新创建的策略。
- 将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。
父主题: 权限管理