如何授予RAM用户系统权限策略和自定义权限策略_云防火墙(Cloud Firewall)-阿里云帮助中心

如需对RAM用户使用云防火墙相关功能做精细化的权限管理，您可以通过授予RAM用户系统权限策略或自定义权限策略来实现。本文介绍如何授予RAM用户系统权限策略和自定义权限策略，实现精细化的权限管理。

背景信息

阿里云访问控制服务为各云产品提供默认的访问控制系统策略，同时支持用户自定义访问控制策略。系统策略由阿里云默认创建，不支持修改。您可以使用自定义权限对RAM用户访问和操作云防火墙进行精确的限制。

说明

云防火墙支持的默认策略为AliyunYundunCloudFirewallFullAccess（表示允许RAM用户对云防火墙的所有功能进行操作）和AliyunYundunCloudFirewallReadOnlyAccess（表示允许RAM用户只读访问云防火墙的所有数据）。

前提条件

已创建RAM用户。具体操作，请参见创建RAM用户。

授予RAM用户系统策略

阿里云提供了费用中心、访问或管理云防火墙相关的系统策略。如果RAM用户购买、续费、退订云防火墙实例时提示无权限，或RAM用户访问云防火墙提示暂无权限，请检查权限，您可以参考以下步骤授予RAM用户对应的系统策略实现为RAM用户授权。

重要

费用中心的系统权限策略对所有云产品生效。给RAM用户授权费用中心相关系统策略后，RAM用户将拥有购买、续费、退订所有云产品的权限。

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户页面，单击目标RAM用户操作列的添加权限。
您也可以选中多个RAM用户，单击用户列表下方的添加权限，为RAM用户批量授权。

在添加权限面板，为RAM用户添加权限。

选择资源范围。
- 账号级别：权限在当前阿里云账号内生效。
- 资源组级别：权限在指定的资源组内生效。
  重要
  指定资源组授权生效的前提是该云服务及资源类型已支持资源组，详情请参见支持资源组的云服务。资源组授权示例，请参见使用资源组限制RAM用户管理指定的ECS实例。
授权主体会自动填入当前RAM用户，无需手动填写。

根据使用场景选择系统策略下的指定策略，并单击确认新增授权。

场景	系统策略

场景	系统策略
购买、续费、退订云防火墙实例	AliyunBSSOrderAccess、AliyunBSSRefundAccess
只读访问云防火墙	AliyunYundunCloudFirewallReadOnlyAccess
管理云防火墙	AliyunYundunCloudFirewallFullAccess

单击关闭。

授予RAM用户自定义策略

参考以下步骤使用自定义权限对RAM用户访问和操作云防火墙进行精确的限制。

一、创建云防火墙自定义权限策略

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。

在创建权限策略页面，单击脚本编辑页签。

根据您的使用场景配置对应脚本。

说明

在运维人员权限场景中，该脚本的权限策略允许RAM用户使用漏洞扫描、漏洞修复、基线检查和资产中心功能并进行相关操作。添加该策略后，RAM用户具体可以执行的操作，请参见支持自定义权限策略的操作表格中的Action及其说明。

场景	脚本

场景	脚本
云防火墙管理权限	`{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:" ], "Resource": [ "" ], "Condition": {} } ] }`
访问控制策略修改权限	`{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:ControlPolicy" ], "Resource": [ "*" ], "Condition": {} } ] }`
云防火墙开关权限	`{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:Switch" ], "Resource": [ "*" ], "Condition": {} } ] }`

输入权限策略内容，然后单击确定。
在创建权限策略弹窗中设置权限策略名称和备注，然后单击确定。

二、为RAM用户授权

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择权限管理 > 授权。
在授权页面，单击新增授权。
在新增授权面板，为RAM用户添加权限。
新创建的RAM用户默认不支持任何权限。
1. 选择资源范围。
  - 账号级别：权限在当前阿里云账号内生效。
  - 资源组级别：权限在指定的资源组内生效。
    重要
    指定资源组授权生效的前提是该云服务及资源类型已支持资源组，详情请参见支持资源组的云服务。资源组授权示例，请参见使用资源组限制RAM用户管理指定的ECS实例。
2. 选择授权主体。
3. 授权主体即需要添加权限的RAM用户。支持批量选择多个RAM用户。
4. 在系统策略页签下，搜索并选择AliyunYundunCloudFirewallReadOnlyAccess策略。
  该系统策略可以授予运维人员只读访问云防火墙服务的权限。
5. 在权限策略区域的下拉列表，选择自定义策略。
6. 在列表中选择一、创建云防火墙自定义权限策略中创建的自定义策略。
单击确认新增授权。

支持自定义权限策略的操作

云防火墙所有API均支持自定义权限策略。关于云防火墙的API列表，请参见API概览。

RAM权限策略Action是yundun-cloudfirewall:+接口名称，其中RAM自定义权限策略中的Action与该云产品的API一一对应。例如，yundun-cloudfirewall:DescribeAssetList就表示查询云防火墙防护的资产的信息，对应的API是DescribeAssetList - 查询云防火墙防护的资产的信息。

RAM用户权限管理最佳实践