本文为您介绍如何进行自定义权限策略配置。
前提条件
通过脚本编辑模式创建自定义权限策略
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在权限策略页面,单击创建权限策略。
- 在创建权限策略页面,单击脚本编辑页签。
- 按您的需要选择如下配置。
- IP白名单权限策略配置输入IP白名单权限策略内容。例如,只允许192.0.2.0/24的IP访问,且只能访问名为SendSms的API方法。脚本配置如下:说明 acs:SourceIp的取值如果是单个IP地址,请写明具体的IP地址,不可以使用该IP地址的IP地址段形式xx.xx.xx.xx/32。例如:10.0.0.1不可以写为10.0.0.1/32。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "dysms:SendSms" ], "Resource": [ "*" ], "Condition": { "IpAddress": { "acs:SourceIp": [ "192.0.2.0/24" ] } } } ] } - IP黑名单权限策略配置
输入IP黑名单的策略内容。例如:不允许192.0.2.1访问名为SendSms的API方法。 脚本配置如下:
说明 acs:SourceIp的取值如果是IP地址段,请使用该IP地址的IP地址段形式xx.xx.xx.xx/32。例如10.0.0.1/32。{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "dysms:SendSms" "Resource": [ "*" ], "Condition": { "IpAddress": { "acs:SourceIp": [ "192.0.2.1" ] } } } ] } - 安全信道权限策略(HTTPS)配置
开启安全信道权限策略(HTTPS)的策略内容。脚本配置如下:
重要 配置此安全策略后,将禁止非安全策略(HTTP)请求的访问。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dysms:*", "Resource": "*", "Condition": { "Bool": { "acs:SecureTransport": [ "true" ] } } } ] } - 多接口调用权限策略配置
多接口调用权限策略配置,例如,只允许访问SendSms和SendBatchSms的API方法。脚本配置如下:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "dysms:SendSms", "dysms:SendBatchSms" ], "Resource": "*" } ] }
- IP白名单权限策略配置
- 输入权限策略名称和备注。
- 检查并优化权限策略内容。
- 基础权限策略优化
系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:
- 删除不必要的条件。
- 删除不必要的数组。
- 可选:高级权限策略优化
您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:
- 拆分不兼容操作的资源或条件。
- 收缩资源到更小范围。
- 去重或合并语句。
- 基础权限策略优化
- 单击确定。