授予RAM用户自定义策略
如果您想对权限进行细粒度控制,您可以自定义策略,然后授予RAM用户自定义策略权限。本文以授予RAM用户容器镜像服务控制台企业版实例下的某个命名空间的读写权限为例,介绍如何自定义策略。
创建自定义策略
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在权限策略页面,单击创建权限策略。
- 在创建权限策略页面,单击脚本编辑页签。
将以下策略内容复制到文本框中,根据实际情况替换策略内容中的
instanceid和namespace,然后单击继续编辑基本信息。如果您想要授予RAM用户更多的权限,编辑策略内容时,
Action和Resource的配置,请参见镜像服务鉴权规则。关于策略语法的详细介绍,请参见权限策略语法和结构。说明策略内容中的
*,表示完全匹配,例如cr:ListInstance*表示授予cr:ListInstance开头的所有action,设置acs:cr:*:*:repository/$instanceid/$namespace/*为acs:cr:*:*:repository/cri-123456/ns/*,表示授予所有地域下ID为cri-123456的实例的ns命名空间下的所有权限。{ "Statement": [ { "Effect": "Allow", "Action": [ "cr:ListInstance*", "cr:GetInstance*", "cr:ListSignature*" ], "Resource": "*" }, { "Action": [ "cr:*" ], "Effect": "Allow", "Resource": [ "acs:cr:*:*:repository/$instanceid/$namespace/*", "acs:cr:*:*:repository/$instanceid/$namespace" ] }, { "Action": [ "cr:List*" ], "Effect": "Allow", "Resource": [ "acs:cr:*:*:repository/$instanceid/*", "acs:cr:*:*:repository/$instanceid/*/*" ] } ], "Version": "1" }- 输入权限策略名称和备注。
- 单击确定。
授予RAM用户自定义策略
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在用户页面,单击目标RAM用户操作列的添加权限。
- 在添加权限面板,为RAM用户添加权限。
- 选择授权应用范围。
- 整个云账号:权限在当前阿里云账号内生效。
- 指定资源组:权限在指定的资源组内生效。说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务。
- 输入授权主体。授权主体即需要添加权限的RAM用户。
- 选择权限策略。说明 每次最多绑定5条策略,如需绑定更多策略,请分次操作。
- 选择授权应用范围。
- 单击确定。
- 单击完成。
说明
使用RAM用户登录容器镜像控制台。您可以在容器镜像控制台授予的命名空间下进行构建、推送、拉取镜像等操作。
