通过RAM权限策略,可限制不同子账号拥有受限的操作权限,保障多云流量调度安全可控。下面将用不同的场景示例,为您介绍如何为RAM子账号配置授权。
操作概览
RAM子账号的授权管理,一共分为3步,
创建子账号:为子账号创建登录名称、访问方式。
配置权限策略:根据您的应用场景,创建不同的权限策略。
将权限策略授予指定的子账号:限制子账号只拥有配置的权限策略。
场景1:仅允许查看GTM实例配置的权限设置
步骤一:创建子账号
创建RAM用户页面,设置登录名称、访问方式选择‘控制台访问’,设置自定义密码后,其他参数默认,单击确定后即可创建子账号成功。
步骤二:配置只读策略
创建权限策略页面,配置获取实例配置完整信息接口DescribeCloudGtmInstanceConfigFullInfo的读操作权限,单击确定后,设置策略名称。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "alidns:DescribeCloudGtmInstanceConfigFullInfo",
"Resource": "*"
}
]
}
步骤三:将策略授权到指定子账号
在授权管理页面新增授权,将权限授予指定的子账号。
场景2:只允许修改、不允许删除的权限配置
权限范围;允许修改实例配置(例如更新实例负载均衡策略),禁止删除资源(例如删除 DNS 地址池)
权限策略页面,脚本编辑策略内容配置如下
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "alidns:UpdateCloudGtmInstanceConfigLbStrategy",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "alidns:DeleteCloudGtmAddress",
"Resource": "*"
}
]
}
创建子账号、以及将策略授权到指定子账号的操作步骤,参见上述场景1一致。
其他更多API权限定义请参考授权信息。
该文章对您有帮助吗?
- 本页导读 (1)
- 操作概览
- 场景1:仅允许查看GTM实例配置的权限设置
- 步骤一:创建子账号
- 步骤二:配置只读策略
- 步骤三:将策略授权到指定子账号
- 场景2:只允许修改、不允许删除的权限配置
