阿里云提供了多种系统权限策略可供用户选择使用。这些权限策略仅仅提供了粗粒度的访问控制能力,比如某个云产品级别的只读权限或所有权限。

如果您有更细粒度的授权需求,比如授权用户 bob 只能对 oss://samplebucket/bob/ 下的所有对象执行只读操作,而且限制 IP 来源必须为您的公司网络(可以通过搜索引擎查询“我的 IP”来获知您的公司网络 IP 地址),那么您可以通过创建自定义策略来进行访问控制。

前提条件

在创建自定义策略时,您需要了解权限策略语言的基本结构和语法,请参考 语法结构

RAM 最细可以支持各产品 API 粒度的授权,即权限策略中的操作权限可以精细到每个 API 操作。在创建自定义策略前,您需要了解有关产品所支持的授权粒度和授权方法,具体请参考支持 RAM 的云服务

操作步骤

  1. 登录 RAM 控制台
  2. 单击权限管理 > 权限策略管理
    说明权限策略管理页面,可通过单击 策略类型下拉页签中的 系统策略自定义策略,分别查看已有的权限策略。其中系统策略只允许查看,不允许修改;自定义策略可以很方便的满足您的自定义需求。
  3. 单击新建权限策略
  4. 填写策略名称备注
  5. 配置模式选择可视化配置脚本配置
    • 若选择可视化配置:单击添加授权语句,根据界面提示,对权限效力、操作名称、资源等进行配置。
    • 若选择脚本配置,请参考语法结构进行编辑。

后续操作

只需将本文创建的策略授权给用户 bob,则 bob 会拥有对 oss://samplebucket/bob/ 下的对象的只读操作权限,且限制条件是必须从您的公司网络(假设为121.0.27.1)进行访问。

为 RAM 用户授权,请参考为 RAM 用户授权