什么是Policy 以及Policy的授权方法
典型使用场景
结合上面对 Action、Resource 和 Condition 的定义,下面列出一些典型使用场景的 Policy 定义和授权方法。
多种授权条件
对于访问 IP 地址为 10.101.168.111/24 网段的用户,可以对所有名称为 online-01 和 online-02 的实例执行读/写操作(包括实例下面的所有表),且要求只能在 2016-01-01 00:00:00 之前访问和通过 HTTPS 访问。
操作步骤如下:
使用主账号登录访问控制 RAM 的管理控制台。(默认已开通访问控制服务)
单击页面左侧的[backcolor=transparent]策略管理,进入策略管理页面。
单击右上角的[backcolor=transparent]新建授权策略按钮,进入创建授权策略的页面。
选择[backcolor=transparent]空白模板,进入创建自定义授权策略的页面。
填写[backcolor=transparent]授权策略名称,并将如下内容填写至[backcolor=transparent]策略内容栏。{- "Statement": [
- {
- "Effect": "Allow",
- "Action": "ots:*",
- "Resource": [
- "acs:ots:*:*:instance/online-01",
- "acs:ots:*:*:instance/online-01/table/*",
- "acs:ots:*:*:instance/online-02",
- "acs:ots:*:*:instance/online-02/table/*"
- ],
- "Condition": {
- "IpAddress": {
- "acs:SourceIp": [
- "10.101.168.111/24"
- ]
- },
- "DateLessThan": {
- "acs:CurrentTime": "2016-01-01T00:00:00+08:00"
- },
- "Bool": {
- "acs:SecureTransport": "true"
- }
- }
- }
- ],
- "Version": "1"
- }
单击[backcolor=transparent]新建授权策略,授权策略新建成功,然后单击[backcolor=transparent]关闭。
单击页面左侧的[backcolor=transparent]用户管理,进入用户管理页面将新建的策略授权给需要的子账号。
找到需要授权的子账号,单击其右侧操作栏下面的[backcolor=transparent]授权按钮,进入“编辑个人授权”页面。
搜索刚才新建的策略名称,选中后单击 [backcolor=transparent]> 以将该权限添加至“已选择授权策略名称”栏中,最后单击[backcolor=transparent]确定,完成对该账号的策略授权。
拒绝请求
对于访问 IP 地址为 10.101.169.111 的用户,拒绝对北京区域,名称以 online 和 product 开头的实例下面的所有表执行写操作(不包括对实例的操作)。
创建自定义授权策略和给子账号授权的步骤同上,只需将如下内容填写至[backcolor=transparent]策略内容栏即可。
{
"Statement": [
{
"Effect": "Deny",
"Action": [
"ots:Create*",
"ots:Insert*",
"ots:Put*",
"ots:Update*",
"ots:Delete*",
"ots:BatchWrite*"
],
"Resource": [
"acs:ots:cn-beijing:*:instance/online*/table/*",
"acs:ots:cn-beijing:*:instance/product*/table/*"
],
"Condition": {
"IpAddress": {
"acs:SourceIp": [
"10.101.169.111"
]
}
}
}
],
"Version": "1"
}
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
