云解析服务 DNS云解析服务 DNS

更新时间:2021/08/12 GMT+08:00
分享

创建DNS自定义策略

如果系统策略不满足授权要求,您可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。

目前华为云支持以下两种方式创建自定义策略:

  • 可视化视图:通过可视化视图创建自定义策略,无需了解JSON语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
  • JSON视图:通过JSON视图创建自定义策略,可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。

如下以定制一个用户仅能修改DNS Zone的策略为例。分别采用可视化视图和JSON视图的配置方式创建自定义策略 。

具体创建步骤请参见:创建自定义策略。本章为您介绍常用的DNS自定义策略样例。

可视化视图配置自定义策略

  1. 登录管理控制台。
  2. 在控制台页面,将鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。
  3. 在“统一身认证服务”页面左侧导航栏中,选择“权限”。
  4. 在“权限”页面,单击右上方的“创建自定义策略”。

    进入“创建自定义策略”页面。

  5. 输入“策略名称”。
  6. 选择“作用范围”,即自定义策略的生效范围,根据服务的部署区域选择。服务部署区域,请参考系统权限
    • 全局级服务:系统权限中该服务的“所属区域”为“全局区域”,表示该服务为全局级服务。创建全局级服务的自定义策略时,作用范围选择“全局级服务”。给用户组授予该自定义策略时,需要在全局区域中进行。
    • 项目级服务:系统权限中该服务的“所属区域”为“除全局区域外其他区域”,表示该服务为项目级服务。创建项目级服务的自定义策略时,作用范围选择“项目级服务”。给用户组授予该自定义策略时,需要在除全局区域外其他区域中进行。

    因DNS是区域级项目,此处选择“项目级服务”。

    如果一个自定义策略中包含多个服务的授权语句,这些服务必须是同一属性,即都是全局级服务或者项目级服务。如果需要同时设置全局服务和项目级服务的自定义策略,请创建两条自定义策略,“作用范围”分别为“全局级服务”以及“项目级服务”。

  7. “策略配置方式”选择“可视化视图”。
  8. 在“策略内容”下配置自定义策略。
    1. 选择“允许”或“拒绝”。
    2. 选择“云服务”。

      此处只能选择一个云服务,如需配置多个云服务的自定义策略,请在完成此条配置后,单击“添加权限”,创建多个服务的授权语句;或使用JSON视图配置自定义策略

    3. 选择“操作”,根据需求勾选产品权限。
    4. (可选)选择资源类型,如选择“特定类型”可以点击“通过资源路径指定”来指定需要授权的资源。
    5. (可选)添加条件,单击“添加条件”,选择“条件键”,选择“运算符”,根据运算符类型填写相应的值。
      表1 条件参数

      名称

      说明

      条件值

      条件键表示策略语句的Condition元素中的键值。分为全局条件键和服务级条件键。

      • 全局级条件键:前缀为“g:”,适用于所有操作,如表2所示。
      • 服务级条件键:前缀为服务缩写,如“dns:”,仅适用于对应服务的操作。

      运算符

      与条件键一起使用,构成完整的条件判断语句。

      与条件键和运算符一起使用,当运算符需要某个关键字时,需要输入关键字的值,构成完整的条件判断语句。

      表2 全局级请求条件

      全局条件键

      条件类型

      说明

      g:CurrentTime

      时间

      接收到鉴权请求的时间。以ISO 8601格式表示,例如:2012-11-11T23:59:59Z。

      g:DomainName

      字符串

      账号名称。

      g:MFAPresent

      布尔值

      是否使用MFA多因素认证方式获取Token。

      g:MFAAge

      数值

      通过MFA多因素认证方式获取的Token的生效时间。该条件需要和g:MFAPresent一起使用。

      g:ProjectName

      字符串

      项目名称。

      g:ServiceName

      字符串

      服务名称。

      g:UserId

      字符串

      IAM用户ID。

      g:UserName

      字符串

      IAM用户名。

  9. (可选)在“策略配置方式”选择JSON视图,将可视化视图配置的策略内容转换为JSON语句,您可以在JSON视图中对策略内容进行修改。

    如果您修改后的JSON语句有语法错误,将无法创建策略,可以自行检查修改内容或单击界面弹窗中的“重置”,将JSON文件恢复到未修改状态。

  10. (可选)如需创建多条自定义策略,请单击“添加权限”;也可在已创建的策略最右端单击“+”,复制此权限。
  11. (可选)输入“策略描述”。
  12. 单击“确定”,完成自定义策略的创建。
  13. 参考创建用户并授权使用DNS将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。

JSON视图配置自定义策略

  1. 登录管理控制台。
  2. 在控制台页面,将鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。
  3. 在“统一身认证服务”页面左侧导航栏中,选择“权限”。
  4. 在“权限”页面,单击右上方的“创建自定义策略”。

    进入“创建自定义策略”页面。

  5. 输入“策略名称”。
  6. 选择“作用范围”,即自定义策略的生效范围,根据服务的部署区域选择。服务部署区域,请参考系统权限
    • 全局级服务:系统权限中该服务的“所属区域”为“全局区域”,表示该服务为全局级服务。创建全局级服务的自定义策略时,作用范围选择“全局级服务”。给用户组授予该自定义策略时,需要在全局区域中进行。
    • 项目级服务:系统权限中该服务的“所属区域”为“除全局区域外其他区域”,表示该服务为项目级服务。创建项目级服务的自定义策略时,作用范围选择“项目级服务”。给用户组授予该自定义策略时,需要在除全局区域外其他区域中进行。

    因DNS是区域级项目,此处选择“项目级服务”。

    如果一个自定义策略中包含多个服务的授权语句,这些服务必须是同一属性,即都是全局级服务或者项目级服务。如果需要同时设置全局服务和项目级服务的自定义策略,请创建两条自定义策略,“作用范围”分别为“全局级服务”以及“项目级服务”。

  7. “策略配置方式”选择“JSON视图”。
  8. (可选)在“策略内容”区域,单击“从已有策略复制”,例如选择“DNS FullAccess”作为模板。
  9. 单击“确定”。
  10. 修改模板中策略授权语句。
    • 作用(Effect):允许(Allow)和拒绝(Deny)。
    • 权限集(Action):写入各服务API授权项列表中“授权项”中的内容,例如:"dns:zone:create",来实现细粒度授权。

    自定义策略版本号(Version)固定为1.1,不可修改。

  11. (可选)输入“策略描述”。
  12. 单击“确定”后,系统会自动校验语法,如跳转到策略列表,则自定义策略创建成功;如提示“策略内容错误”,请按照语法规范进行修改。
  13. 参考创建用户并授权使用DNS将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。

JSON视图自定义策略示例

  • 示例1:授权用户创建域名,为域名添加记录集,并支持查看域名以及对应的记录集。
    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "dns:zone:create",
                    "dns:recordset:create",
                    "dns:zone:list"
    				"dns:recordset:list"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*:get*,
                    "vpc:*:list*"
                ]
            }
        ]
    }
  • 示例2:拒绝用户删除DNS资源

    拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Alow和Deny,则遵循Deny优先原则。

    如果您给用户授予DNS FullAccess的系统策略,但不希望用户拥有DNS FullAccess中定义的删除DNS资源的权限,您可以创建一条拒绝删除DNS资源的自定义策略,然后同时将DNS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对DNS执行除了删除外的所有操作。拒绝策略示例如下:

    { 
          "Version": "1.1", 
          "Statement": [ 
                { 
    		  "Effect": "Deny", 
                      "Action": [ 
                            "dns:*:delete*" 
                      ] 
                } 
          ] 
    }
  • 示例3:多个授权项策略

    一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下:

    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "dns:zone:update",
                    "dns:zone:list"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:subnets:create",
                    "vpc:vips:update"
                ]
            }
        ]
    }
分享:

    相关文档

    相关产品