权限助手简化了函数计算相关的RAM权限策略配置,帮助您快速自定义权限和划分角色。本文介绍如何在函数计算控制台快速创建RAM权限策略草稿并在RAM控制台完成最终权限配置。
背景信息
权限助手是一个生成RAM权限策略的工具,能够协助您对函数计算的权限进行可视化配置,并在函数计算控制台生成对应的RAM权限语句。然后,您可以在RAM控制台创建对应的自定义权限策略,将权限策略的策略内容修改为函数计算控制台生成的RAM权限语句,并为需要该项权限的RAM用户授予权限。
注意事项
- 当函数计算发布新功能时,您需要重新生成RAM权限语句,否则可能会导致原有权限策略下的RAM用户不具备该新功能的权限。
- 权限助手功能仅用于函数计算的服务、函数、层、域名等粒度相关的权限策略配置,如您想要为账号授予更多其他产品或更细粒度的权限,请参见创建自定义权限策略。
前提条件
步骤一:在函数计算控制台创建权限策略
登录函数计算控制台。
- 在左侧导航栏,选择。
- 在权限助手页面,单击创建权限策略。
- 在创建权限策略页面的配置权限策略配置向导页面,设置相关参数并单击下一步。
- 在基本配置区域,配置以下参数。
参数 描述 名称 自定义权限策略的名称。 备注 自定义权限策略的备注说明。 - 可选:在函数计算产品权限区域,按需配置以下内容。
- 单击+添加资源,在下拉列表中依次选择地域、服务和函数。说明 如果需要在所有地域下创建权限策略,地域下拉列表请选择所有地域。
- 在权限模块的权限模块和权限列,选中目标模块复选框及其对应权限等级。
说明 支持按照服务、函数、层、域名等粒度对函数计算的权限进行层级划分。 - 可选:单击+添加限制条件,在下拉列表中依次选择限制条件关键字、限定词,然后输入限制条件的值。
关键字 限定词 值 请求时间 - DataEquals
- DataNotEquals
- DataLessThan
- DataLessThanEquals
- DataGreaterThan
- DataGreaterThanEquals
发送请求时间。格式为ISO 8601,例如:2021-11-11T23:59:59Z。当选择一个限定词时,系统默认填入当前时间。 安全信道 Bool 发送请求是否使用了安全信道。例如,HTTPS。 - true:使用。
- false:未使用。
客户端 IP - IpAddress
- NotIpAddress
客户端IP地址。例如,10.0.XX.XX。 多因素认证 Bool 您登录时是否使用了多因素认证,多因素认证是指使用两种以上的认证方式进行登录。 - true:使用。
- false:未使用。
- 单击+添加资源,在下拉列表中依次选择地域、服务和函数。
- 可选:在相关云产品权限区域,在权限模块和权限列,选择目标云产品复选框及其对应权限等级。
说明 如您需要给函数计算授予访问更多其他阿里云服务的权限,请参见授予函数计算访问其他云服务的权限。
- 在基本配置区域,配置以下参数。
- 在创建权限策略页面的预览权限策略配置向导页面,检查生成的规则列表,然后单击下一步。您可以在权限策略区域,对生成的RAM权限策略进行压缩、格式化或复制。复制的RAM授权语句将用于步骤二:在RAM控制台创建自定义权限策略。
- 在创建权限策略页面的应用上线(RAM)配置向导页面,阅读在RAM控制台相关操作指引,然后单击完成。
步骤二:在RAM控制台创建自定义权限策略
步骤三:在RAM控制台为RAM用户添加授权
增加权限策略后,您需要在RAM控制台为需要该项权限的RAM用户授权。本文以在授权页面为RAM用户授权的方式为例,操作步骤如下所示。更多方式,请参见为RAM用户授权。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在授权页面,单击新增授权。
在新增授权面板,为RAM用户添加权限。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
重要指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
选择授权主体。
授权主体即需要添加权限的RAM用户。支持批量选中多个RAM用户。
选择权限策略。
权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。
单击确认新增授权。
单击关闭。
更多信息
该文章对您有帮助吗?