文档首页/ VPC终端节点 VPCEP/ 用户指南(安卡拉区域)/ 权限管理/ 创建VPCEP自定义策略
更新时间:2024-04-15 GMT+08:00
查看PDF
分享

创建VPCEP自定义策略

如果系统策略不满足授权要求,您可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。

目前支持以下两种方式创建自定义策略:

  • 可视化视图:通过可视化视图创建自定义策略,无需了解JSON语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
  • JSON视图:通过JSON视图创建自定义策略,可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。

如下以定制一个用户仅能修改终端节点服务的策略为例。分别采用可视化视图和JSON视图的配置方式创建自定义策略 。

本章为您介绍常用的VPCEP自定义策略样例。

可视化视图配置自定义策略

  1. 登录管理控制台。
  2. 选择“管理与部署 > 统一身份认证服务”。

    进入“统一身份认证服务”页面。

  3. 在“统一身认证服务”页面左侧导航栏中,选择“策略”。
  4. 在“策略”页面,单击右上方的“创建自定义策略”。

    进入“创建自定义策略”页面。

  5. 输入“策略名称”。
  6. 选择“作用范围”,即自定义策略的生效范围,根据服务的部署区域选择。
    • 全局级服务:系统权限中该服务的“所属区域”为“全局区域”,表示该服务为全局级服务。创建全局级服务的自定义策略时,作用范围选择“全局级服务”。给用户组授予该自定义策略时,需要在全局区域中进行。
    • 项目级服务:系统权限中该服务的“所属区域”为“除全局区域外其他区域”,表示该服务为项目级服务。创建项目级服务的自定义策略时,作用范围选择“项目级服务”。给用户组授予该自定义策略时,需要在除全局区域外其他区域中进行。

    因VPCEP是区域级项目,此处选择“项目级服务”。

    如果一个自定义策略中包含多个服务的授权语句,这些服务必须是同一属性,即都是全局级服务或者项目级服务。如果需要同时设置全局服务和项目级服务的自定义策略,请创建两条自定义策略,“作用范围”分别为“全局级服务”以及“项目级服务”。

  7. “策略配置方式”选择“可视化视图”。
  8. 在“策略内容”下配置自定义策略。
    1. 选择“允许”或“拒绝”。
    2. 选择“云服务”。

      此处只能选择一个云服务,如需配置多个云服务的自定义策略,请在完成此条配置后,单击“添加权限”,创建多个服务的授权语句;或使用JSON视图配置自定义策略

    3. 选择“操作”,根据需求勾选产品权限。
    4. (可选)选择资源类型,如选择“特定类型”可以点击“通过资源路径指定”来指定需要授权的资源。
    5. (可选)添加条件,单击“添加条件”,选择“条件键”,选择“运算符”,根据运算符类型填写相应的值。
      表1 条件参数

      名称

      说明

      条件值

      条件键表示策略语句的Condition元素中的键值。分为全局条件键和服务级条件键。

      • 全局级条件键:前缀为“g:”,适用于所有操作,如表2所示。
      • 服务级条件键:前缀为服务缩写,如“vpcep:”,仅适用于对应服务的操作。

      运算符

      与条件键一起使用,构成完整的条件判断语句。

      与条件键和运算符一起使用,当运算符需要某个关键字时,需要输入关键字的值,构成完整的条件判断语句。
      表2 全局级请求条件

      全局条件键

      条件类型

      说明

      g:CurrentTime

      时间

      接收到鉴权请求的时间。以ISO 8601格式表示,例如:2012-11-11T23:59:59Z。

      g:DomainName

      字符串

      账号名称。

      g:MFAPresent

      布尔值

      是否使用MFA多因素认证方式获取Token。

      g:MFAAge

      数值

      通过MFA多因素认证方式获取的Token的生效时间。该条件需要和g:MFAPresent一起使用。

      g:ProjectName

      字符串

      项目名称。

      g:ServiceName

      字符串

      服务名称。

      g:UserId

      字符串

      IAM用户ID。

      g:UserName

      字符串

      IAM用户名。
  9. (可选)在“策略配置方式”选择JSON视图,将可视化视图配置的策略内容转换为JSON语句,您可以在JSON视图中对策略内容进行修改。

    如果您修改后的JSON语句有语法错误,将无法创建策略,可以自行检查修改内容或单击界面弹窗中的“重置”,将JSON文件恢复到未修改状态。

  10. (可选)如需创建多条自定义策略,请单击“添加权限”;也可在已创建的策略最右端单击“+”,复制此权限。
  11. (可选)输入“策略描述”。
  12. 单击“确定”,完成自定义策略的创建。
  13. 参考创建用户并授权使用VPCEP将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。

JSON视图配置自定义策略

  1. 登录管理控制台。
  2. 选择“管理与部署 > 统一身份认证服务”。

    进入“统一身份认证服务”页面。

  3. 在“统一身认证服务”页面左侧导航栏中,选择“策略”。
  4. 在“策略”页面,单击右上方的“创建自定义策略”。

    进入“创建自定义策略”页面。

  5. 输入“策略名称”。
  6. 选择“作用范围”,即自定义策略的生效范围,根据服务的部署区域选择。
    • 全局级服务:系统权限中该服务的“所属区域”为“全局区域”,表示该服务为全局级服务。创建全局级服务的自定义策略时,作用范围选择“全局级服务”。给用户组授予该自定义策略时,需要在全局区域中进行。
    • 项目级服务:系统权限中该服务的“所属区域”为“除全局区域外其他区域”,表示该服务为项目级服务。创建项目级服务的自定义策略时,作用范围选择“项目级服务”。给用户组授予该自定义策略时,需要在除全局区域外其他区域中进行。

    因VPCEP是区域级项目,此处选择“项目级服务”。

    如果一个自定义策略中包含多个服务的授权语句,这些服务必须是同一属性,即都是全局级服务或者项目级服务。如果需要同时设置全局服务和项目级服务的自定义策略,请创建两条自定义策略,“作用范围”分别为“全局级服务”以及“项目级服务”。

  7. “策略配置方式”选择“JSON视图”。
  8. (可选)在“策略内容”区域,单击“从已有策略复制”,例如选择“VPCEndpoint FullAccess”作为模板。
  9. 单击“确定”。
  10. 修改模板中策略授权语句。
    • 作用(Effect):允许(Allow)和拒绝(Deny)。
    • 权限集(Action):写入各服务API授权项列表中“授权项”中的内容,例如:"vpcep:epservices:update",来实现细粒度授权。

    自定义策略版本号(Version)固定为1.1,不可修改。

  11. (可选)输入“策略描述”。
  12. 单击“确定”后,系统会自动校验语法,如跳转到策略列表,则自定义策略创建成功;如提示“策略内容错误”,请按照语法规范进行修改。
  13. 参考创建用户并授权使用VPCEP将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。
父主题: 权限管理