授权策略包含系统授权策略和自定义授权策略,其中系统授权策略只允许查看,不允许修改;自定义授权策略可以很方便的满足您的自定义需求。

创建自定义授权策略的前提条件

在创建自定义授权策略时,若您需要了解权限策略语言的基本结构和语法,请参考Policy 语法结构

创建自定义授权策略

  1. 登录 RAM 控制台
  2. 单击策略管理 > 自定义授权策略 > 新建授权策略
    图 1. 新建授权策略


  3. 选择一个模板(例如:AliyunOSSReadOnlyAccess)。
    说明 您可以基于该模板进行自定义编辑。可以修改自定义的授权策略名称、备注和策略内容,也可以新增细粒度授权限制内容。
    图 2. 编辑授权策略


    权限代策略样例如下所示:
    
    {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "oss:Get*",
              "oss:List*"
            ],
            "Effect": "Allow",
            "Resource": "acs:oss:*:*:samplebucket/bob/*",
            "Condition": {
              "IpAddress": {
                "acs:SourceIp": "10.0.0.0/8"
               }
            }
          }
        ]
    }
  4. 修改完成后,单击新建授权策略

修改自定义授权策略

背景信息

当用户的权限发生变更时,比如新增或撤销权限,您需要修改授权策略。当您修改授权策略时可能会遇到以下问题:

  • 希望一段时间后,老的授权策略还能继续使用。
  • 修改完成后,您发现授权策略修改错了,需要返回修改前的策略。

授权策略具备版本管理机制:

  • 可以为一个授权策略保留多个版本,如果超出限制,需要手动删除不需要的版本。。
  • 对于一个存在多版本的授权策略,只有一个版本是活跃的,即默认版本。

操作步骤

  1. 登录 RAM 控制台,单击策略管理 > 自定义授权策略
  2. 通过 授权策略名称找到需要管理的授权策略,单击其名称。
    说明 可使用关键字查询。
  3. 单击版本管理
    • 选择查看所有历史版本的策略内容。
    • 将非默认版本策略设为当前版本(即默认版本)。
    • 选择删除非默认版本策略。

删除自定义授权策略

您可以创建多个自定义授权策略,每个策略也可以维护多个版本。当您不再需要自定义授权策略时,您应该将授权策略删除。

前提条件

在删除某个授权策略前,应保证:
  • 当前授权策略不存在多版本,只有一个默认版本。若该授权策略存在多个版本,您需要先删除除默认版本之外的所有版本。
  • 当前授权策略未被引用(即附加给用户、用户组或角色)。若该授权策略已被引用,您需要在该授权策略的引用记录解除授权

操作步骤

  1. 登录 RAM 控制台,单击策略管理 > 自定义授权策略
  2. 通过授权策略名称找到需要删除的授权策略,单击删除
    说明 可使用关键字查询。
  3. 在弹出的删除授权对话框中,单击确定
    说明 该策略有被引用记录时,勾选强制解除关联关系可强制删除该授权策略。