文档首页 > > 用户指南> 权限管理> 创建SCM自定义策略

创建SCM自定义策略

分享
更新时间: 2019/09/26 GMT+08:00

如果系统预置的SCM权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考SCM授权项列表

如下以定制一个用户仅能申请证书的策略为例。

前提条件

操作步骤

如下以创建名为“申请证书”的策略为例,创建一个仅支持申请证书的自定义策略。

  1. 在IAM控制台上,单击左侧导航栏的“策略”,在右上角选择“创建自定义策略”

  2. “创建自定义策略”中,填写如下参数:

    • “策略名称”:填写“申请证书”
    • “作用范围”:根据服务的属性填写,SCM为全局级服务,选择“全局级服务”
    • “策略信息”:将如下内容拷贝至策略信息中,并单击“检验语法”。如下策略表示允许申请证书。
      {
              "Version": "1.1",
              "Statement": [
                      {
                              "Action": [
                                      "scm:cert:complete"
                              ],
                              "Effect": "Allow"
                      }
              ]
      }

  3. 单击“确定”,自定义策略创建成功。
  4. 将新创建的自定义策略授予用户组,使得用户组中的用户仅具备创建申请证书的权限。
  5. 用户登录并验证自定义策略定义的权限:申请证书。

    1. 使用新创建的用户登录华为云,登录方法选择为“IAM用户登录”
      • 账号名为该IAM用户所属华为云账号的名称。
      • 用户名和密码为账号在IAM创建用户时输入的用户名和密码。
    2. 在SSL证书管理页面,进行申请证书操作,操作成功,权限配置正确并已生效。
    3. 尝试进行其他操作,例如:取消申请。

      系统显示“权限不足”,权限配置正确并已生效。

策略样例

  • 示例1:授权用户下载证书
    {
            "Version": "1.1",
            "Statement": [
                    {
                            "Action": [
                                    "scm:cert:download"
                            ],
                            "Effect": "Allow"
                    }
            ]
    }
  • 示例2:拒绝用户删除证书

    拒绝策略

    拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。

    如果您给用户授予SCM Administrator的系统策略,但不希望用户拥有SCM Administrator中定义的删除证书权限,您可以创建一条拒绝删除证书的自定义策略,然后同时将SCM Administrator和拒绝策略授予用户,根据Deny优先原则,则用户可以对证书执行除了删除证书外的所有操作。拒绝策略示例如下:

    {
            "Version": "1.1",
            "Statement": [
                    {
                            "Action": [
                                    "scm:cert:delete"
                            ],
                            "Effect": "Deny"
                    }
            ]
    }
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区