如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍用户体验监控如何使用自定义权限策略。
什么是自定义权限策略
在基于RAM的访问控制体系中,自定义权限策略是指在系统权限策略之外,您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。
创建自定义权限策略后,需为RAM用户、用户组或RAM角色绑定权限策略,这些RAM身份才能获得权限策略中指定的访问权限。
已创建的权限策略支持删除,但删除前需确保该策略未被引用。如果该权限策略已被引用,您需要在该权限策略的引用记录中移除授权。
自定义权限策略支持版本控制,您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。
操作文档
常见自定义权限策略场景及示例
RUM应用底层Logstore数据查看权限
使用阿里云账号授予RAM用户以下权限:
RAM用户具备当前阿里云账号下的RUM应用底层Logstore数据查看权限(包含应用看板、应用详情内的应用概览、会话追踪、页面访问等数据分析功能均依赖该权限)。
满足上述权限的权限策略如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:GetLogStoreLogs"
],
"Resource": [
"acs:log:*:*:project/*/logstore/*"
]
}
]
}说明:
资源类型:
acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}。可以从应用设置-基础信息-日志信息,查看具体的Project/Logstore,然后再在RAM策略中指定。
RUM应用的查看以及修改权限
使用阿里云账号授予RAM用户以下权限:
RAM用户具备当前阿里云账号下的RUM应用的查看以及修改权限。
满足上述权限的权限策略如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arms:CreateRumApp",
"arms:UpdateRumApp",
"arms:GetRumAppInfo",
"arms:GetRumApps"
"arms:DeleteRumApp"
],
"Resource": [
"acs:arms:*:*:rum/*"
]
}
]
}说明:
资源类型:
acs:arms:*:*:rum/*。
RUM应用SDK配置的查看以及修改权限
使用阿里云账号授予RAM用户以下权限:
RAM用户具备当前阿里云账号下的RUM应用SDK配置的查看以及修改权限。
满足上述权限的权限策略如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:CreateAgentInstanceConfig",
"log:UpdateAgentInstanceConfig",
"log:GetAgentInstanceConfig",
"log:DeleteAgentInstanceConfig"
],
"Resource": [
"acs:log:*:*:agentinstanceconfig/rum_web_config",
"acs:log:*:*:agentinstanceconfig/rum_app_config"
],
"Condition": {
"ForAnyValue:StringLike": {
"log:AgentInstanceConfigAttributesWorkspace": [
"*"
],
"log:AgentInstanceConfigAttributesService": [
"*"
]
}
}
}
]
}说明:
资源类型:
acs:log:{#regionId}:{#accountId}:agentinstanceconfig/${config_type}。