本文介绍如何通过自定义策略为RAM用户授权。

前提条件

  • 在创建自定义授权策略时,您需要了解授权策略语言的基本结构和语法。更多信息,请参见权限策略基本元素
  • 已为RAM用户添加系统权限策略ReadOnlyAccess或AliyunARMSReadOnlyAccess,用于登录ARMS控制台。
  • 请确认RAM用户没有添加系统权限策略AliyunARMSFullAccess。

背景信息

ARMS提供粗粒度的系统授权策略,如果这种粗粒度授权策略不能满足您的需要,那么您可以创建自定义授权策略。例如,您想控制RAM用户对告警管理指定功能的操作权限,则必须使用自定义授权策略才能满足这种细粒度要求。

步骤一:创建自定义权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。在策略文档中编写您的授权策略内容。
    授权策略内容中各元素说明,请参见权限策略元素说明

    示例:告警管理所有功能的读写权限。

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "arms:Describe*",
                    "arms:List*",
                    "arms:Get*",
                    "arms:Search*",
                    "arms:Check*",
                    "arms:Query*",
                    "arms:*Alert*",
                    "arms:*Contact*",
                    "arms:*Webhook*",
                    "arms:*PrometheusRule*",
                    "arms:*Alarm*",
                    "arms:*Incident*",
                    "arms:*DispatchRule*",
                    "arms:*NotificationPolicy*",
                    "arms:*EventBridgeIntegration*",
                    "arms:*PrometheusAlertTemplate*",
                    "arms:*IncidentWorkFlow*",
                    "arms:*EscalationPolicy*",
                    "arms:UpdateAlertCommercialConfig",
                    "arms:*OnCallSchedule",
                    "arms:UpdateIntegration",
                    "arms:ListIntegration"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  5. 编写完成后,单击下一步:编辑基本信息
  6. 输入权限策略名称备注
  7. 单击确定

步骤二:为RAM用户添加权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,为RAM用户添加权限。
    1. 选择授权应用范围。
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务
    2. 输入授权主体。
      授权主体即需要授权的RAM用户,系统会自动填入当前的RAM用户,您也可以添加其他RAM用户。
    3. 选择权限策略。
      说明 每次最多绑定5条策略,如需绑定更多策略,请分次操作。
  5. 单击确定
  6. 单击完成

权限策略元素说明

效果(Effect)

授权效果包括两种:允许(Allow)和拒绝(Deny)。

操作(Action)

Action权限说明
arms:*Alert*告警相关的读写权限。
arms:UpdateIntegration更新集成的权限。
arms:*EventBridgeIntegration*EventBridge集成的读写权限。
arms:*PrometheusRule*Prometheus告警规则的读写权限。
arms:*PrometheusAlertTemplate*Prometheus告警规则模板的读写权限。
arms:*Incident*告警事件相关的读写权限。
arms:*Contact*联系人、联系人组相关的读写权限。
arms:*Webhook*Webhook相关的读写权限。
arms:*IncidentWorkFlow*事件处理流相关的读写权限。
arms:*NotificationPolicy*通知策略的读写权限。
arms:*EscalationPolicy*升级策略的读写权限。
arms:*OnCallSchedule排班管理的读写权限。
arms:UpdateAlertCommercialConfig更新告警国际化配置的权限。
arms:*Alarm*旧版告警相关的读写权限。
arms:*DispatchRule*旧版告警规则的读写权限。