如果您需要限制RAM用户修改计费模式,可以通过访问控制RAM(Resource Access Management)的自定义策略实现。通过本文,您可以了解限制RAM用户修改计费模式的操作方法。

背景信息

阿里云CDN提供了RAM用户来实现不同业务之间的隔离操作,被赋予AliyunCDNFullAccess(管理CDN)权限的RAM用户默认拥有数据查看、域名功能管理和计费模式修改的权限。如果您需要限制RAM用户修改计费模式的权限,同时保留其他权限,可通过访问控制RAM自定义策略来实现。查看RAM用户权限,请参见查看RAM用户的权限

操作步骤

创建自定义权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
  5. 在脚本编辑框,输入限制RAM用户修改计费模式的脚本内容。
    {
        "Statement": [
            {
                "Action": "cdn:*",
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "cdn:OpenCdnService",
                    "cdn:ModifyCdnService"
                ],
                "Resource": "*",
                "Effect": "Deny"
            },
            {
                "Action": "ram:CreateServiceLinkedRole",
                "Resource": "*",
                "Effect": "Allow",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": [
                            "cdn-waf.cdn.aliyuncs.com",
                            "cdn-ddos.cdn.aliyuncs.com"
                        ]
                    }
                }
            }
        ],
        "Version": "1"
    }
    说明
    • 脚本中关于ActionResource的使用规则,请参见权限策略基本元素
    • 您还可以选择可视化配置,系统预置了添加授权语句,通过不同选项来实现权限配置。
  6. 单击下一步:编辑基本信息
  7. 输入权限策略名称备注
  8. 检查并优化权限策略内容。
    • 基础权限策略优化

      系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

      • 删除不必要的条件。
      • 删除不必要的数组。
    • 可选:高级权限策略优化

      您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

      • 拆分不兼容操作的资源或条件。
      • 收缩资源到更小范围。
      • 去重或合并语句。
  9. 单击确定

为RAM用户授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,配置授权信息。
    添加权限
    配置项 说明
    授权应用范围

    选择整个云账号,表示对应的权限应用范围为全局权限。

    被授权主体 系统根据您上一步选择的目标RAM用户,已自动匹配填写。
    选择权限 选择权限为自定义策略,在文本框中输入您在创建自定义权限策略中创建的名称,本文输入AliyunCdnRefresh,并将其添加到已选择区域框中。
  5. 单击确定
  6. 单击完成