文档

授予RAM用户自定义策略

更新时间:

如果您想对权限进行细粒度控制,您可以自定义策略,然后授予RAM用户自定义策略权限。本文以授予RAM用户容器镜像服务控制台企业版实例下的某个命名空间的读写权限为例,介绍如何自定义策略。

创建自定义策略

  1. 使用阿里云账号(主账号)或具有管理权限的RAM用户登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 权限策略

  3. 权限策略页面,单击创建权限策略

  4. 创建权限策略页面,单击脚本编辑页签。

  5. 将以下策略内容复制到文本框中,根据实际情况替换策略内容中的instanceidnamespace,然后单击继续编辑基本信息

    如果您想要授予RAM用户更多的权限,编辑策略内容时,ActionResource的配置,请参见RAM授权信息。关于策略语法的详细介绍,请参见权限策略语法和结构

    说明

    策略内容中的*,表示完全匹配,例如cr:ListInstance*表示授予cr:ListInstance开头的所有action,设置acs:cr:*:*:repository/$instanceid/$namespace/*acs:cr:*:*:repository/cri-123456/ns/*,表示授予所有地域下ID为cri-123456的实例的ns命名空间下的所有权限。

    {
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "cr:ListInstance*",
            "cr:GetInstance*",
            "cr:ListSignature*"
          ],
          "Resource": "*"
        },
        {
          "Action": [
            "cr:*"
          ],
          "Effect": "Allow",
          "Resource": [
            "acs:cr:*:*:repository/$instanceid/$namespace/*",
            "acs:cr:*:*:repository/$instanceid/$namespace"
          ]
        },
        {
          "Action": [
            "cr:List*"
          ],
          "Effect": "Allow",
          "Resource": [
            "acs:cr:*:*:repository/$instanceid/*",
            "acs:cr:*:*:repository/$instanceid/*/*"
          ]
        }
      ],
      "Version": "1"
    }
  6. 输入权限策略名称备注

  7. 单击确定

授予RAM用户自定义策略

  1. 使用阿里云账号(主账号)或RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限

  4. 添加权限面板,为RAM用户添加权限。

    1. 选择授权应用范围。

    2. 指定授权主体。

      授权主体即需要添加权限的RAM用户。

    3. 选择权限策略。

      权限策略是一组访问权限的集合,包括:

      • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务

      • 自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见创建自定义权限策略

      说明

      每次最多绑定5条策略,如需绑定更多策略,请分多次操作。

  5. 单击确定

  6. 单击完成

说明

使用RAM用户登录容器镜像控制台。您可以在容器镜像控制台授予的命名空间下进行构建、推送、拉取镜像等操作。