文档首页> > 用户指南> 策略> 创建自定义策略

创建自定义策略

分享
更新时间: 2019/08/13 09:20

如果系统策略不满足授权要求,管理员可以自己创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。

前提条件

请确保已开通细粒度授权功能,开通细粒度策略后,才能创建自定义策略。

操作步骤

  1. 管理员在统一身份认证服务,左侧导航窗格中,单击“策略”>“创建自定义策略”
  2. 输入“策略名称”
  3. 选择“作用范围”,即自定义策略的生效范围,根据服务的部署区域选择,详情请参考:权限策略

    • 全局级服务:权限策略中该服务的“所属区域”为“全局区域”,表示该服务为全局级服务。创建全局级服务的自定义策略时,作用范围选择“全局级服务”。给用户组授予该自定义策略时,需要在全局区域中进行。
    • 项目级服务:权限策略中该服务的“所属区域”为“除全局区域外其他区域”,表示该服务为项目级服务。创建项目级服务的自定义策略时,作用范围选择“项目级服务”。给用户组授予该自定义策略时,需要在除全局区域外其他区域中进行。

    例如:创建EVS的自定义策略("evs:volumes:create"),由于EVS服务属于项目级服务,作用范围必须选择项目级服务。

    说明:

    如果一个自定义策略中包含多个服务的授权语句,这些服务必须是同一属性,即都是全局级服务或者项目级服务。如果需要同时设置全局服务和项目级服务的自定义策略,请创建两条自定义策略,“作用范围”分别为“全局级服务”以及“项目级服务”。

  4. (可选)输入“策略描述”
  5. “策略信息”区域,单击“选择模板”,例如选择“VPC Admin”作为模板。
  6. 单击“确定”
  7. 修改模板中策略授权语句。

    • 作用(Effect):允许(Allow)和拒绝(Deny)。
    • 权限集(Action):写入各服务API授权项列表(如图1所示)中“授权项”中的内容,例如:"evs:volumes:create",来实现细粒度授权。
      图1 授权项示例
      说明:
      • 自定义策略版本号(Version)固定为1.1,不可修改。
      • 各服务支持的API授权列表,详情请参见:权限策略

  8. 单击“校验语法”,如果系统提示语法错误,请按照语法规范进行修改。
  9. 单击“确定”,自定义策略创建完成,策略列表中显示新创建的策略。
  10. 将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。

    说明:

    给用户组授予自定义策略与系统策略操作一致,详情请参考:创建用户组并授权

如果您喜欢这篇文档,您还可以:

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区