全站加速RAM用户授权示例-阿里云帮助中心

新创建的RAM用户默认没有开通DCDN服务和变更计费方式的权限，通过访问控制RAM（Resource Access Management），您可以根据实际业务需求，授予RAM用户开通DCDN服务、变更计费方式的权限。

前提条件

您已创建RAM用户。如果未创建，请先创建RAM用户。

背景信息

访问控制RAM是阿里云提供的一项管理用户身份与资源访问权限的服务，提供以下两种授权策略。通过系统策略，可授予RAM用户开通和变配权限；通过自定义策略，可授予RAM用户开通或变配、仅开通和变配等权限。

系统策略
由阿里云统一配置，不可修改，被授权的RAM用户将拥有管理整个DCDN的权限。通过系统策略，您可以快速完成授权配置。
自定义策略
您可以自主创建、更新授权策略，进行精细化授权，例如授予RAM用户开通或变配、仅开通和变配等权限。

权限类型介绍

如果您希望授予RAM用户不同的开通、变配权限，您可以根据本文介绍的方法为RAM用户授权。

说明

本文提到的变配均指变更计费方式。

权限类型	说明	相关文档
全局权限（包含开通和变配）	管理DCDN的权限，例如，配置缓存策略、回源配置等，包含开通DCDN服务和变更计费方式。	示例一：通过系统策略授权（开通和变配）
全局权限（不含开通）	管理DCDN的权限，例如，配置缓存策略、回源配置等，包含变更计费方式，不含开通DCDN服务。	示例二：通过自定义策略授权（开通或变配）
全局权限（不含变配）	管理DCDN的权限，例如，配置缓存策略、回源配置等，包含开通DCDN服务，不含变更计费方式。
仅开通权限	仅支持开通DCDN服务，不包含其他权限。
仅变配权限	仅支持变更计费方式，不包含其他权限。
仅开通和变配权限	仅支持开通DCDN服务和变更计费方式，不包含其他权限。	示例三：通过自定义策略授权（仅开通和变配）
全局权限（不含开通和变配）	管理DCDN的权限，例如，配置缓存策略、回源配置等，不含开通DCDN服务和变更计费方式。	示例四：通过自定义策略授权（除开通和变配）

示例一：通过系统策略授权（开通和变配）

登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户页面，单击目标RAM用户操作列的添加权限。
您也可以选中多个RAM用户，单击用户列表下方的添加权限，为RAM用户批量授权。
在新增授权面板，配置授权信息。
1. 授权应用范围选择账号级别。
  说明
  授权RAM用户开通和变配权限需对账号级别授权，如果只对资源组级别授权，开通和变配权限将不生效。
2. 选择权限为系统策略。
3. 在文本框中输入DCDN，系统将自动展示与DCDN相关的系统权限策略。
4. 单击AliyunDCDNFullAccess权限策略，添加到已选择区域框中。
单击确认新增授权。
单击关闭。

示例二：通过自定义策略授权（开通或变配）

创建自定义权限策略。

登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
单击创建权限策略。

单击脚本编辑页签，配置自定义权限策略。

自定义权限策略如下：

全局权限（不含开通）

{
    "Version": "1",
    "Statement": [
        {
            "Action": "dcdn:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "dcdn:OpenDcdnService"
            ],
            "Resource": "*",
            "Effect": "Deny"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "logdelivery.dcdn.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

全局权限（不含变配）

{
    "Version": "1",
    "Statement": [
        {
            "Action": "dcdn:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "dcdn:ModifyDcdnService"
            ],
            "Resource": "*",
            "Effect": "Deny"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "logdelivery.dcdn.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

仅开通权限

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dcdn:OpenDcdnService"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

仅变配权限

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dcdn:ModifyDcdnService"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

单击确定，在弹出的对话框中输入权限策略名称和备注。
图 2. 基本信息
配置项
说明
名称
填入具备业务意义的名称以便后续识别，本文填入AliyunDcdntest。
备注
可选填，填入该策略的备注信息。
检查并优化权限策略内容。
- 可选：高级策略优化
  您可以将鼠标悬浮在可选：高级策略优化上，单击执行，对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务：
  - 拆分不兼容操作的资源或条件。
  - 收缩资源到更小范围。
  - 去重或合并语句。
单击确定。

为RAM用户授权。

登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
找到目标RAM用户，单击其操作列的添加权限。

在新增授权面板，配置授权信息。

添加权限 01

配置项	说明
授权应用范围	选择账号级别。说明授权RAM用户开通和变配权限需对账号级别授权，如果只对资源组级别授权，开通和变配权限将不生效。
被授权主体	系统根据您选择的目标RAM用户已自动填充。
选择权限	选择权限为自定义策略，在文本框中输入您在步骤一中创建的权限策略名称，本文输入`AliyunDcdntest`，并将其添加到已选择区域框中。

单击确认新增授权。
单击关闭。

示例三：通过自定义策略授权（仅开通和变配）

创建自定义权限策略。
1. 登录RAM控制台。
2. 在左侧导航栏，选择权限管理 > 权限策略。
3. 单击创建权限策略。
4. 单击脚本编辑页签，配置自定义权限策略。
  图 3. 脚本编辑
  自定义权限策略如下：
```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dcdn:OpenDcdnService",
                 "dcdn:ModifyDcdnService"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}
```
5. 单击确定，在弹出的对话框中输入权限策略名称和备注。
  图 4. 基本信息
  配置项
  说明
  名称
  填入具备业务意义的名称以便后续识别，本文填入AliyunDcdntest。
  备注
  可选填，填入该策略的备注信息。
6. 检查并优化权限策略内容。
  - 可选：高级策略优化
    您可以将鼠标悬浮在可选：高级策略优化上，单击执行，对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务：
    拆分不兼容操作的资源或条件。
    收缩资源到更小范围。
    去重或合并语句。
7. 单击确定。

为RAM用户授权。

登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
找到目标RAM用户，单击其操作列的添加权限。

在新增授权面板，配置授权信息。

添加权限 01

配置项	说明
授权应用范围	选择账号级别。说明授权RAM用户开通和变配权限需对账号级别授权，如果只对资源组级别授权，开通和变配权限将不生效。
被授权主体	系统根据您选择的目标RAM用户已自动填充。
选择权限	选择权限为自定义策略，在文本框中输入您在步骤一中创建的权限策略名称，本文输入`AliyunDcdntest`，并将其添加到已选择区域框中。

单击确认新增授权。
单击关闭。

示例四：通过自定义策略授权（除开通和变配）

创建自定义权限策略。
1. 登录RAM控制台。
2. 在左侧导航栏，选择权限管理 > 权限策略。
3. 单击创建权限策略。
4. 单击脚本编辑页签，配置自定义权限策略。
  自定义权限策略如下：
```
{
    "Version": "1",
    "Statement": [
        {
            "Action": "dcdn:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "dcdn:ModifyDcdnService",
                "dcdn:OpenDcdnService"
            ],
            "Resource": "*",
            "Effect": "Deny"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "logdelivery.dcdn.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}
```
5. 单击确定，在弹出的对话框中输入权限策略名称和备注。
  图 5. 基本信息
  配置项
  说明
  名称
  填入具备业务意义的名称以便后续识别，本文填入AliyunDcdntest。
  备注
  可选填，填入该策略的备注信息。
6. 检查并优化权限策略内容。
  - 可选：高级策略优化
    您可以将鼠标悬浮在可选：高级策略优化上，单击执行，对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务：
    拆分不兼容操作的资源或条件。
    收缩资源到更小范围。
    去重或合并语句。
7. 单击确定。

为RAM用户授权。

登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
找到目标RAM用户，单击其操作列的添加权限。

在新增授权面板，配置授权信息。

添加权限 01

配置项	说明
授权应用范围	选择账号级别。说明授权RAM用户开通和变配权限需对账号级别授权，如果只对资源组级别授权，开通和变配权限将不生效。
被授权主体	系统根据您选择的目标RAM用户已自动填充。
选择权限	选择权限为自定义策略，在文本框中输入您在步骤一中创建的权限策略名称，本文输入`AliyunDcdntest`，并将其添加到已选择区域框中。

单击确认新增授权。
单击关闭。

配置项	说明
名称	填入具备业务意义的名称以便后续识别，本文填入`AliyunDcdntest`。
备注	可选填，填入该策略的备注信息。