您可以通过 IAM 策略定义一系列服务或资源的访问权限范围,然后将其引用到指定的身份上。当 IAM 身份附加了某条策略,则代表该身份具备此策略所定义的权限,并将会在身份使用时根据权限定义启动策略评估。

说明

策略评估时多条策略叠加取并集,并默认拒绝未定义任何权限的操作。

若叠加的策略中针对同一操作定义了不同结论,则拒绝优先

当您对策略叠加的预期评估结论产生疑问时,您可以使用策略模拟器获得准确的测试结论。

策略类型

策略分为预置策略、自定义策略和应用托管托管策略。您可以点击策略列表类型列的下拉选择筛选定位到相应的策略类型。

图片
说明

预置策略是云平台为满足您的日常管理需要而提供,无法删除和更改。

应用托管策略是由云平台 AppCenter 应用开发者定义,您在部署相应应用时即自动生成,也是无法自主删除和更改的。

只有自定义策略支持删除和更改。

图片
图片

创建自定义策略

我们为自定义策略提供了可视化创建和 JSON 编辑两种创建方式。当您点击创建后,将默认引导可视化策略创建。

可视化创建

  1. 点击添加服务类别,选择需要加入策略的服务。

    图片

    例如弹性云服务器,页面将按只读、维护和敏感分类列出该服务下的所有操作。

    图片

    您可以切换到显示API指令的方式查看这些操作明细。

    图片

  2. 展开操作分类后,勾选需要加入到策略的操作即可为这些操作设置允许权限。

    图片

    如果需要为被勾选的操作赋予拒绝权限,则点击切换以拒绝权限

    图片

    您可以在勾选操作前通过操作名称或 API 关键字搜索操作,页面将实时展示符合条件的操作列表。如下图所示。

    图片

  3. 选择操作后,页面将指引您为选择的操作设定权限作用范围,默认是作用于全部资源,如需将权限范围圈定到部分特定资源上,点击特定资源并配置资源标识符 QRN 即可。云平台 IAM 会根据您所选的操作自动关联出操作所需的所有资源,如下图。

    图片
    说明

    当选择特定资源作为权限范围时,您必须为必选(前面标有*的资源)类型指定 QRN,上图的云服务器即为必选类型。您可以使用 QRN 生成器来指定相应的资源。

  4. 由于策略可以是多个相同或不同服务类别的不同权限集合,您可通过再次点击添加服务类别并循环前面的操作以将一系列不同的权限集合在一起。

  5. 确认内容创建无误后,点击下一步,以进入策略审阅界面。

    图片

    填写自定义策略的名称和描述后,点击创建即可创建成功。

  6. 在创建成功的提示页面可根据指引点击进入策略模拟器或者策略详情页。

    图片

JSON 编辑

策略是由 JSON 格式创建的配置文件:策略 JSON 编辑格式及参数说明

如果您对策略有更灵活的要求,则可以在策略创建过程中随时点击 JSON 编辑切换到配置文件编辑模式,如下图所示。

图片

切换到配置文件编辑模式后,系统会自动将已可视化编辑的配置实时显示其中,您可以直接在该基础上编辑。

图片
说明

当您自行使用 JSON 编辑来创建策略时,需要满足云平台的格式规则,否则可能会创建失败或者偏离预期的策略效果。

JSON 编辑规则请参阅:JSON 编辑格式及参数说明

确认内容编辑无误后可以点击下一步,进入策略审阅界面,填写自定义策略的名称和描述后点击创建即可创建成功。

图片

查看策略摘要

您可以在策略列表页点击策略 ID 进入该策略详情页,下方将自动显示该策略的摘要信息。

图片

策略内容支持切换到 JSON 源码查看。

图片

非预置策略(即自定义策略)可再次修改,修改后将创建一个新的策略版本。

图片
图片

为策略引用(/离开)身份

策略是一系列操作权限的集合,将其引用到身份即可控制该身份访问云平台的接入。一个身份上可以附加多条策略,一个策略也可引用到多个身份。云平台 IAM 支持针对策略操作一次性引用到多个身份。

策略列表页鼠标右键单击,选择身份

图片

或在更多操作中找到引用 > 身份

图片

也可以在策略详情页切换到引用选项卡,添加新引用

图片

点击后在弹出的窗口中选择需要被引用的身份后确认即可。

图片

相应的,若需离开某个或某些身份,直接页面上选择离开操作后确认操作即可。

图片

管理策略版本

版本生成

每一次的策略内容修改更新,都将会自动生成一个策略版本。

进入自定义策略详情的权限摘要查看处,点击修改策略

图片

与创建策略一样,修改策略时也可以通过可视化和 JSON 格式编辑。

图片

确认修改策略后,点击保存即可自动为当前策略生成一个新版本。

说明

最多可保存 10 个策略版本。 若您已存在 10 个策略版本,再次修改时我们会提示您删除早期的版本。

版本管理

进入自定义策略详情页,点击版本管理标签,默认将对比展示该策略的当前版本和最近的历史版本。

我们将会把两个版本对比中的不同之处高亮显示。

图片
说明

若您尚未修改过这条自定义策略(只有一个版本),将只会展示当前版本。

您可以在众多的历史版本中点击切换,以展示该历史版本与当前版本的内容对比。

图片

您还可以在对比查看后直接应用此版本删除

图片
说明

当您修改某条策略或为该策略应用历史版本后,所有该策略引用对象的权限将被更新。 若您准备操作的这条策略已被引用,请注意谨慎操作。

删除策略

策略列表页,选择需要删除的自定义策略后在上方功能区点击更多 > 删除

图片

或在列表中相应的策略条目上点击鼠标右键选择删除

图片

或进入相应的策略详情,点击右上角更多操作选择删除

图片

在弹出的确认窗口阅读提示信息确认后即可操作策略删除。

说明

为了保证您的数据安全,当您准备删除的策略已被引用,操作时会被系统拒绝。

当您选择批量删除多条自定义策略时,确认后只会删除被选策略中的无任何引用的策略条目。

图片