基于身份的策略示例
SWR 提供了一些角色权限,您可以通过授权的方式将它们附加到 IAM 用户或用户组上。借助这些策略,您可对SWR资源和操作的访问权限进行不同级别的控制。
Tenant Administrator
Tenant Administrator拥有除IAM服务外,其他所有服务的管理员权限,拥有容器镜像服务下的所有权限。它的json策略文档如下:
{ "Version": "1.1", "Statement": [ { "Action": [ "obs:*:*" ], "Effect": "Allow" }, { "Condition": { "StringNotEqualsIgnoreCase": { "g:ServiceName": [ "iam" ] } }, "Action": [ "*:*:*" ], "Effect": "Allow" } ] }
Tenant Guest
除IAM服务外,Tenant Guest拥有其他所有服务的只读权限,拥有容器镜像服务下载镜像等权限。
它的json策略文档如下:
{ "Version": "1.1", "Statement": [ { "Action": [ "obs:*:get*", "obs:*:list*", "obs:*:head*" ], "Effect": "Allow" }, { "Condition": { "StringNotEqualsIgnoreCase": { "g:ServiceName": [ "iam" ] } }, "Action": [ "*:*:get*", "*:*:list*", "*:*:head*" ], "Effect": "Allow" } ] }
ServiceStage Developer
应用管理与运维平台(ServiceStage)开发者,拥有容器镜像服务下载镜像等权限。
它的json策略文档如下:
{ "Version": "1.0", "Statement": [ { "Action": [ "servicestage:*:*" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "display_name": "Tenant Guest" } ] }
SWR Admin
容器镜像服务的管理员权限,拥有该服务下的所有权限。
它的json策略文档如下:
{ "Version": "1.0", "Statement": [ { "Action": [ "SWR:software:*", "SWR:dockerimage:*" ], "Effect": "Allow" } ] }