如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍云服务器ECS使用自定义权限策略的场景和策略示例。
什么是自定义权限策略
在基于RAM的访问控制体系中,自定义权限策略是指在系统权限策略之外,您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。
创建自定义权限策略后,需为RAM用户、用户组或RAM角色绑定权限策略,这些RAM身份才能获得权限策略中指定的访问权限。
已创建的权限策略支持删除,但删除前需确保该策略未被引用。如果该权限策略已被引用,您需要在该权限策略的引用记录中移除授权。
自定义权限策略支持版本控制,您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。
操作文档
常见自定义权限策略场景及示例
示例1:重启ECS实例
以下策略表示:仅被授予此策略的RAM用户启用MFA并使用MFA登录时,才具有重启ECS实例的权限。您可以通过设置
Condition
下acs:MFAPresent
的值为true
来实现。{ "Statement": [ { "Action": "ecs:RebootInstance", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:MFAPresent": "true" } } } ], "Version": "1" }
示例2:管理指定的ECS实例
以下策略表示:您可以查看所有ECS实例及资源,但只能操作其中一个实例
i-001
。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "acs:ecs:*:*:instance/i-001" }, { "Action": "ecs:Describe*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
示例3:查看指定地域ECS实例
以下策略表示:仅允许您查看青岛的ECS实例,但不允许查看磁盘及快照。
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:Describe*", "Resource": "acs:ecs:cn-qingdao:*:instance/*" } ], "Version": "1" }
示例4:管理阿里云账号下ECS安全组
下述策略表示:您拥有管理阿里云账号下ECS安全组的权限。
{ "Version": "1", "Statement": [ { "Action": "ecs:*SecurityGroup*", "Resource": "*", "Effect": "Allow" } ] }
示例5:创建快照
以下策略表示:允许为指定的ECS实例关联的指定云盘创建快照。在本示例中,ECS实例ID为
i-bp14l21sgragk0sp****
,云盘ID为d-bp1hek8q2l5tqzde****
,请在实际使用时将对应ID替换为实际值。{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:instance/i-bp14l21sgragk0sp****" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:disk/d-bp1hek8q2l5tqzde****", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
授权信息参考
使用自定义权限策略,您需要了解业务的权限管控需求,并了解云服务器ECS的授权信息。更多信息,请参见授权信息。
- 本页导读 (1)