RAM用户权限管理最佳实践

如需对RAM用户使用云防火墙相关功能做精细化的权限管理,您可以通过授予RAM用户系统权限策略或自定义权限策略来实现。本文介绍如何授予RAM用户系统权限策略和自定义权限策略,实现精细化的权限管理。

背景信息

阿里云访问控制服务为各云产品提供默认的访问控制系统策略,同时支持用户自定义访问控制策略。系统策略由阿里云默认创建,不支持修改。您可以使用自定义权限对RAM用户访问和操作云防火墙进行精确的限制。

说明

云防火墙支持的默认策略为AliyunYundunCloudFirewallFullAccess(表示允许RAM用户对云防火墙的所有功能进行操作)和AliyunYundunCloudFirewallReadOnlyAccess(表示允许RAM用户只读访问云防火墙的所有数据)。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

授予RAM用户系统策略

阿里云提供了费用中心、访问或管理云防火墙相关的系统策略。如果RAM用户购买、续费、退订云防火墙实例时提示无权限,或RAM用户访问云防火墙提示暂无权限,请检查权限,您可以参考以下步骤授予RAM用户对应的系统策略实现为RAM用户授权。

重要

费用中心的系统权限策略对所有云产品生效。给RAM用户授权费用中心相关系统策略后,RAM用户将拥有购买、续费、退订所有云产品的权限。

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限

    image

    您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。

  4. 添加权限面板,为RAM用户添加权限。

    1. 选择资源范围。

    2. 授权主体会自动填入当前RAM用户,无需手动填写。

    3. 根据使用场景选择系统策略下的指定策略,并单击确定

      场景

      系统策略

      购买、续费、退订云防火墙实例

      AliyunBSSOrderAccess、AliyunBSSRefundAccess

      只读访问云防火墙

      AliyunYundunCloudFirewallReadOnlyAccess

      管理云防火墙

      AliyunYundunCloudFirewallFullAccess

  5. 单击关闭

授予RAM用户自定义策略

参考以下步骤使用自定义权限对RAM用户访问和操作云防火墙进行精确的限制。

一、创建云防火墙自定义权限策略

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 权限策略

  3. 权限策略页面,单击创建权限策略

  4. 创建权限策略页面,单击脚本编辑页签。

    根据您的使用场景配置对应脚本。

    说明

    在运维人员权限场景中,该脚本的权限策略允许RAM用户使用漏洞扫描、漏洞修复、基线检查和资产中心功能并进行相关操作。添加该策略后,RAM用户具体可以执行的操作,请参见支持自定义权限策略的操作表格中的Action及其说明。

    场景

    脚本

    云防火墙管理权限

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "yundun-cloudfirewall:*"
          ],
          "Resource": [
            "*"
          ],
          "Condition": {}
        }
      ]
    }

    访问控制策略修改权限

    {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "yundun-cloudfirewall:*ControlPolicy*"
            ],
            "Resource": [
              "*"
            ],
            "Condition": {}
          }
        ]
      }

    云防火墙开关权限

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "yundun-cloudfirewall:*Switch*"
          ],
          "Resource": [
            "*"
          ],
          "Condition": {}
        }
      ]
    } 
  5. 输入权限策略内容,然后单击确定

  6. 创建权限策略弹窗中设置权限策略名称备注,然后单击确定

二、为RAM用户授权

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 授权

  3. 授权页面,单击新增授权

    image

  4. 新增授权面板,为RAM用户添加权限。

    新创建的RAM用户默认不支持任何权限。

    1. 选择资源范围。

    2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。支持批量选中多个RAM用户。

    3. 系统策略页签下,搜索并选择AliyunYundunCloudFirewallReadOnlyAccess策略。

      该系统策略可以授予运维人员只读访问云防火墙服务的权限。

    4. 单击自定义策略页签,选择一、创建云防火墙自定义权限策略中创建的自定义策略。

  5. 单击确定

支持自定义权限策略的操作

云防火墙所有API均支持自定义权限策略。关于云防火墙的API列表,请参见API概览

RAM权限策略Action是yundun-cloudfirewall:+接口名称,其中RAM自定义权限策略中的Action与该云产品的API一一对应。例如,yundun-cloudfirewall:DescribeAssetList就表示查询云防火墙防护的资产的信息,对应的API是DescribeAssetList - 查询云防火墙防护的资产的信息

相关文档

权限策略基本元素

权限策略语法和结构

通过RAM管控多运维人员的权限

通过访问控制服务限制RAM用户访问云资源的IP地址

通过访问控制服务限制RAM用户访问云资源的时间段