全部产品
云市场

使用RAM Policy控制访问权限

更新时间:2019-09-29 15:45:10

本教程示例详细演示了如何使用 RAM Policy 控制用户对 IVPD 服务的访问。

一、操作步骤

  1. 进入RAM控制台
  2. 进入权限策略管理,新建授权策略: 细粒度授权设置支持:IP段、时间、MFA、SecureTransport、角色STS。
  3. 进入人员管理—用户,新建用户并赋予权限策略。

二、Policy策略

1. 全部权限

拥有IVPD的全部权限。

  1. {
  2. "Statement": [
  3. {
  4. "Effect": "Allow",
  5. "Action": "ivpd:*",
  6. "Resource": "acs:ivpd:*:*:*"
  7. }
  8. ],
  9. "Version": "1"
  10. }

2. 支持带IP/SSL限制的授权

  1. {
  2. "Statement": [
  3. {
  4. "Effect": "Allow",
  5. "Action": "ivpd:*",
  6. "Resource": "acs:ivpd:*:*:*",
  7. "Condition": {
  8. "IpAddress": {
  9. "acs:SourceIp": "42.120.99.0/24"
  10. },
  11. "Bool": {
  12. "acs:SecureTransport": "true"
  13. }
  14. }
  15. }
  16. ],
  17. "Version": "1"
  18. }

以上授权的含义是:当满足以下两个条件时可以访问所有资源

  • 子用户当前的IP在42.120.99.0/24这个网段
  • 子用户正在使用HTTPS访问阿里云控制台或OpenAPI

3. 时间限制

  1. {
  2. "Statement": [
  3. {
  4. "Effect": "Allow",
  5. "Action": "ivpd:*",
  6. "Resource": "acs:ivpd:*:*:*",
  7. "Condition": {
  8. "DateLessThan": {
  9. "acs:CurrentTime": "2019-09-25T12:30:00+08:00"
  10. }
  11. }
  12. }
  13. ],
  14. "Version": "1"
  15. }

以上授权的含义是:在北京时间2019年9月25日下午12:30之前,拥有IVPD的所有权限。

4. MFA

  1. {
  2. "Statement": [
  3. {
  4. "Effect": "Allow",
  5. "Action": "ivpd:*",
  6. "Resource": "acs:ivpd:*:*:*",
  7. "Condition": {
  8. "Bool": {
  9. "acs:MFAPresent": "true"
  10. }
  11. }
  12. }
  13. ],
  14. "Version": "1"
  15. }

如果一个子用户仅被授予如上授权策略,只有此子用户启用MFA并使用MFA登录时,才具有IVPD的权限;此用户的AK也没有权限,需要使用AK+正确的MFA六位Code调用STS服务获取一个临时AK(15分钟失效),此临时AK才具有响应的权限。

5. 控制台角色STS

STS Token是一种临时身份,用来解决跨帐号及跨服务的资源访问的问题

STS Token由以下三部分组成

  • AccessKeyId
  • AccessKeySecret
  • SecurityToken

操作步骤:

  • 1)在RAM控制台创建本账户的用户角色,给角色授权(该产品的管理权限或者AdministratorAccess);
  • 2)创建一个子用户,给子用户授权AliyunSTSAssumeRoleAccess;
  • 3)被创建出来的子用户登录到控制台,切换身份,输入1中创建的角色名和企业别名(如果没有别名,输入主账户Id)
  • 4)切换到角色后,在浏览器里输入产品控制台的地址;
  • 5) 在控制台使用这个产品