全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 ET大脑 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件

用户权限管理

更新时间:2018-06-22 18:32:39

使用RAM授权进行访问控制

通过RAM,您可以授权子用户对混合云备份的操作权限。为了遵循最佳安全实践,强烈建议您使用子用户来操作混合云备份。混合云备份服务提供两种系统授权策略,即AliyunHbrFullAccess和AliyunHbrReadOnlyAccess,分别表示管理权限和只读权限。您还可以在访问控制控制台自定义授权策略,创建方法参考创建自定义授权策略。

RAM中可授权的混合云备份资源

在RAM授权策略中,混合云备份仅支持如下的资源抽象:

  • vault/<仓库ID>:表示混合云备份的一个备份仓库。
  • vault/<仓库ID>/client/<客户端ID>:表示混合云备份的一个客户端实例,客户端必须指定一个备份仓库且不能修改。

仓库ID会显示在控制台概览页面中:
dashboard-vaultid

仓库ID和客户端ID也会显示在创建备份页面中:
vault-client-id

RAM中可授权的混合云备份操作列表

在RAM授权策略中,混合云备份仅支持如下的操作:

操作 (Action) 资源 (Resource) 说明
hbr:CreateVault acs:hbr:*:$acountid:vault/* 创建备份仓库
hbr:DescribeVaults acs:hbr:*:$acountid:vault/* 列出备份仓库
hbr:DeleteVault acs:hbr:*:$acountid:vault/$vaultid 删除备份仓库
hbr:CreateClient acs:hbr:*:$acountid:vault/$vaultid/client/* 创建客户端证书
hbr:DescribeClients acs:hbr:*:$acountid:vault/$vaultid/client/* 列出客户端
hbr:GenerateClientToken acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 更新客户端证书
hbr:DescribeSnapshots acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 列出备份快照
hbr:ActivateClient acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 激活客户端
hbr:GenerateStsCredential acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 获取访问备份仓库数据的凭证
hbr:CreatePolicy acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 创建备份策略
hbr:DescribePolicies acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 列出备份策略
hbr:UpdatePolicy acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 修改备份策略
hbr:DeletePolicy acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 删除备份策略
hbr:CreateSnapshot acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 创建备份
hbr:UpdateSnapshot acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 更新备份进度
hbr:DeleteSnapshot acs:hbr:*:$acountid:vault/$vaultid/client/$clientid 删除备份

授权策略样例

允许对混合云备份的所有资源的只读操作:

  1. {
  2. "Statement": [
  3. {
  4. "Action": "hbr:Describe*",
  5. "Effect": "Allow",
  6. "Resource": "*"
  7. }
  8. ],
  9. "Version": "1"
  10. }

允许对指定备份仓库内的所有资源进行所有操作:

  1. {
  2. "Statement": [
  3. {
  4. "Action": "hbr:*",
  5. "Effect": "Allow",
  6. "Resource": "acs:hbr:*:*:vault/<仓库ID>/*"
  7. }
  8. ],
  9. "Version": "1"
  10. }

允许使用指定的混合云客户端进行所有操作:

  1. {
  2. "Statement": [
  3. {
  4. "Action": "hbr:*",
  5. "Effect": "Allow",
  6. "Resource": "acs:hbr:*:*:vault/<仓库ID>/client/<客户端ID>"
  7. }
  8. ],
  9. "Version": "1"
  10. }

更多关于访问控制RAM的介绍,请参考RAM产品文档

本文导读目录