文档

RAM用户授权示例(开通、变配)

更新时间:

新创建的RAM用户默认没有开通DCDN服务和变更计费方式的权限,通过访问控制RAM(Resource Access Management),您可以根据实际业务需求,授予RAM用户开通DCDN服务、变更计费方式的权限。

前提条件

您已创建RAM用户。如果未创建,请先创建RAM用户

背景信息

访问控制RAM是阿里云提供的一项管理用户身份与资源访问权限的服务,提供以下两种授权策略。通过系统策略,可授予RAM用户开通和变配权限;通过自定义策略,可授予RAM用户开通或变配、仅开通和变配等权限。

  • 系统策略

    由阿里云统一配置,不可修改,被授权的RAM用户将拥有管理整个DCDN的权限。通过系统策略,您可以快速完成授权配置。

  • 自定义策略

    您可以自主创建、更新授权策略,进行精细化授权,例如授予RAM用户开通或变配、仅开通和变配等权限。

权限类型介绍

如果您希望授予RAM用户不同的开通、变配权限,您可以根据本文介绍的方法为RAM用户授权。

说明

本文提到的变配均指变更计费方式。

权限类型

说明

相关文档

全局权限(包含开通和变配)

管理DCDN的权限,例如,配置缓存策略、回源配置等,包含开通DCDN服务和变更计费方式。

示例一:通过系统策略授权(开通和变配)

全局权限(不含开通)

管理DCDN的权限,例如,配置缓存策略、回源配置等,包含变更计费方式,不含开通DCDN服务。

示例二:通过自定义策略授权(开通或变配)

全局权限(不含变配)

管理DCDN的权限,例如,配置缓存策略、回源配置等,包含开通DCDN服务,不含变更计费方式。

仅开通权限

仅支持开通DCDN服务,不包含其他权限。

仅变配权限

仅支持变更计费方式,不包含其他权限。

仅开通和变配权限

仅支持开通DCDN服务和变更计费方式,不包含其他权限。

示例三:通过自定义策略授权(仅开通和变配)

全局权限(不含开通和变配)

管理DCDN的权限,例如,配置缓存策略、回源配置等,不含开通DCDN服务和变更计费方式。

示例四:通过自定义策略授权(除开通和变配)

示例一:通过系统策略授权(开通和变配)

  1. 登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,配置授权信息。

    添加权限
    1. 授权应用范围选择整个云账号

      说明

      授权RAM用户开通和变配权限需对整个云账号授权,如果只对指定资源组授权,开通和变配权限将不生效。

    2. 选择权限为系统策略

    3. 在文本框中输入DCDN,系统将自动展示与DCDN相关的系统权限策略。

    4. 单击AliyunDCDNFullAccess权限策略,添加到已选择区域框中。

  5. 单击确定

  6. 单击完成

示例二:通过自定义策略授权(开通或变配)

  1. 创建自定义权限策略。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择权限管理 > 权限策略

    3. 单击创建权限策略

    4. 单击脚本编辑页签,配置自定义权限策略。

      图 1. 脚本编辑脚本编辑

      自定义权限策略如下:

      全局权限(不含开通)

      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "dcdn:*",
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "dcdn:OpenDcdnService"
                  ],
                  "Resource": "*",
                  "Effect": "Deny"
              },
              {
                  "Action": "ram:CreateServiceLinkedRole",
                  "Resource": "*",
                  "Effect": "Allow",
                  "Condition": {
                      "StringEquals": {
                          "ram:ServiceName": [
                              "logdelivery.dcdn.aliyuncs.com"
                          ]
                      }
                  }
              }
          ]
      }

      全局权限(不含变配)

      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "dcdn:*",
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "dcdn:ModifyDcdnService"
                  ],
                  "Resource": "*",
                  "Effect": "Deny"
              },
              {
                  "Action": "ram:CreateServiceLinkedRole",
                  "Resource": "*",
                  "Effect": "Allow",
                  "Condition": {
                      "StringEquals": {
                          "ram:ServiceName": [
                              "logdelivery.dcdn.aliyuncs.com"
                          ]
                      }
                  }
              }
          ]
      }

      仅开通权限

      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "dcdn:OpenDcdnService"
                  ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }

      仅变配权限

      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "dcdn:ModifyDcdnService"
                  ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    5. 单击继续编辑基本信息,输入权限策略名称备注

      图 2. 基本信息基本信息

      配置项

      说明

      名称

      填入具备业务意义的名称以便后续识别,本文填入AliyunDcdntest

      备注

      可选填,填入该策略的备注信息。

    6. 检查并优化权限策略内容。

      • 基础策略优化

        系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

        • 删除不必要的条件。

        • 删除不必要的数组。

      • 可选:高级策略优化

        您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

        • 拆分不兼容操作的资源或条件。

        • 收缩资源到更小范围。

        • 去重或合并语句。

    7. 单击确定

  2. 为RAM用户授权。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 用户

    3. 找到目标RAM用户,单击其操作列的添加权限

      1
    4. 添加权限面板,配置授权信息。

      添加权限 01

      配置项

      说明

      授权应用范围

      选择整个云账号

      说明

      授权RAM用户开通和变配权限需对整个云账号授权,如果只对指定资源组授权,开通和变配权限将不生效。

      被授权主体

      系统根据您选择的目标RAM用户已自动填充。

      选择权限

      选择权限为自定义策略,在文本框中输入您在步骤一中创建的权限策略名称,本文输入AliyunDcdntest,并将其添加到已选择区域框中。

    5. 单击确定

    6. 单击完成

示例三:通过自定义策略授权(仅开通和变配)

  1. 创建自定义权限策略。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择权限管理 > 权限策略

    3. 单击创建权限策略

    4. 单击脚本编辑页签,配置自定义权限策略。

      图 3. 脚本编辑脚本编辑

      自定义权限策略如下:

      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "dcdn:OpenDcdnService",
                       "dcdn:ModifyDcdnService"
                  ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    5. 单击继续编辑基本信息,输入权限策略名称备注

      图 4. 基本信息基本信息

      配置项

      说明

      名称

      填入具备业务意义的名称以便后续识别,本文填入AliyunDcdntest

      备注

      可选填,填入该策略的备注信息。

    6. 检查并优化权限策略内容。

      • 基础策略优化

        系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

        • 删除不必要的条件。

        • 删除不必要的数组。

      • 可选:高级策略优化

        您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

        • 拆分不兼容操作的资源或条件。

        • 收缩资源到更小范围。

        • 去重或合并语句。

    7. 单击确定

  2. 为RAM用户授权。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 用户

    3. 找到目标RAM用户,单击其操作列的添加权限

      1
    4. 添加权限面板,配置授权信息。

      添加权限 01

      配置项

      说明

      授权应用范围

      选择整个云账号

      说明

      授权RAM用户开通和变配权限需对整个云账号授权,如果只对指定资源组授权,开通和变配权限将不生效。

      被授权主体

      系统根据您选择的目标RAM用户已自动填充。

      选择权限

      选择权限为自定义策略,在文本框中输入您在步骤一中创建的权限策略名称,本文输入AliyunDcdntest,并将其添加到已选择区域框中。

    5. 单击确定

    6. 单击完成

示例四:通过自定义策略授权(除开通和变配)

  1. 创建自定义权限策略。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择权限管理 > 权限策略

    3. 单击创建权限策略

    4. 单击脚本编辑页签,配置自定义权限策略。

      脚本编辑

      自定义权限策略如下:

      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "dcdn:*",
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "dcdn:ModifyDcdnService",
                      "dcdn:OpenDcdnService"
                  ],
                  "Resource": "*",
                  "Effect": "Deny"
              },
              {
                  "Action": "ram:CreateServiceLinkedRole",
                  "Resource": "*",
                  "Effect": "Allow",
                  "Condition": {
                      "StringEquals": {
                          "ram:ServiceName": [
                              "logdelivery.dcdn.aliyuncs.com"
                          ]
                      }
                  }
              }
          ]
      }
    5. 单击继续编辑基本信息,输入权限策略名称备注

      图 5. 基本信息基本信息

      配置项

      说明

      名称

      填入具备业务意义的名称以便后续识别,本文填入AliyunDcdntest

      备注

      可选填,填入该策略的备注信息。

    6. 检查并优化权限策略内容。

      • 基础策略优化

        系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

        • 删除不必要的条件。

        • 删除不必要的数组。

      • 可选:高级策略优化

        您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

        • 拆分不兼容操作的资源或条件。

        • 收缩资源到更小范围。

        • 去重或合并语句。

    7. 单击确定

  2. 为RAM用户授权。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 用户

    3. 找到目标RAM用户,单击其操作列的添加权限

      1
    4. 添加权限面板,配置授权信息。

      添加权限 01

      配置项

      说明

      授权应用范围

      选择整个云账号

      说明

      授权RAM用户开通和变配权限需对整个云账号授权,如果只对指定资源组授权,开通和变配权限将不生效。

      被授权主体

      系统根据您选择的目标RAM用户已自动填充。

      选择权限

      选择权限为自定义策略,在文本框中输入您在步骤一中创建的权限策略名称,本文输入AliyunDcdntest,并将其添加到已选择区域框中。

    5. 单击确定

    6. 单击完成

  • 本页导读 (1)
文档反馈