授予RAM用户自定义策略

如果您想对权限进行细粒度控制,您可以自定义策略,然后授予RAM用户自定义策略权限。本文以授予RAM用户容器镜像服务控制台企业版实例下的某个命名空间的读写权限为例,介绍如何自定义策略。

创建自定义策略

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 权限策略

  3. 权限策略页面,单击创建权限策略

  4. 创建权限策略页面,单击脚本编辑页签。

  5. 将以下策略内容复制到文本框中,根据实际情况替换策略内容中的instanceidnamespace

    如果您想要授予RAM用户更多的权限,编辑策略内容时,ActionResource的配置,请参见RAM授权信息。关于策略语法的详细介绍,请参见权限策略语法和结构

    说明

    策略内容中的*,表示完全匹配,例如cr:ListInstance*表示授予cr:ListInstance开头的所有action,设置acs:cr:*:*:repository/$instanceid/$namespace/*acs:cr:*:*:repository/cri-123456/ns/*,表示授予所有地域下ID为cri-123456的实例的ns命名空间下的所有权限。

    {
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "cr:ListInstance*",
            "cr:GetInstance*",
            "cr:ListSignature*"
          ],
          "Resource": "*"
        },
        {
          "Action": [
            "cr:*"
          ],
          "Effect": "Allow",
          "Resource": [
            "acs:cr:*:*:repository/$instanceid/$namespace/*",
            "acs:cr:*:*:repository/$instanceid/$namespace"
          ]
        },
        {
          "Action": [
            "cr:List*"
          ],
          "Effect": "Allow",
          "Resource": [
            "acs:cr:*:*:repository/$instanceid/*",
            "acs:cr:*:*:repository/$instanceid/*/*"
          ]
        }
      ],
      "Version": "1"
    }
  6. 单击确定。然后在创建权限策略对话框中填写名称备注。

授予RAM用户自定义策略

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限

    image

    您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。

  4. 新增授权面板,为RAM用户添加权限。

    1. 选择资源范围。

    2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。

    3. 选择权限策略。

      权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。

      • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务

        说明

        系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授权时,尽量避免授予不必要的高风险权限策略。

      • 自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见创建自定义权限策略

    4. 单击确认新增授权

  5. 单击关闭

说明

使用RAM用户登录容器镜像控制台。您可以在容器镜像控制台授予的命名空间下进行构建、推送、拉取镜像等操作。