如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍智能媒体服务使用自定义权限策略的场景和策略示例。
什么是自定义权限策略
在基于RAM的访问控制体系中,自定义权限策略是指在系统权限策略之外,您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。
创建自定义权限策略后,需为RAM用户、用户组或RAM角色绑定权限策略,这些RAM身份才能获得权限策略中指定的访问权限。
已创建的权限策略支持删除,但删除前需确保该策略未被引用。如果该权限策略已被引用,您需要在该权限策略的引用记录中移除授权。
自定义权限策略支持版本控制,您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。
操作文档
常见自定义权限策略场景及示例
本文以“授予智能媒体服务部分资源的只读访问权限”为例进行参数字段详解,其他策略示例类似,不再重复。
授予智能媒体服务部分资源的只读访问权限
{ "Version": "1", "Statement": [ { "Action": [ "ice:GetMediaProducingJob", "ice:GetEditingProject", "ice:GetMediaInfo", "ice:ListMediaBasicInfos", "ice:SearchEditingProject" ], "Resource": "*", "Effect": "Allow", "Condition": { "IpAddress": { "acs:SourceIp": "192.168.0.1" } } } ] }参数字段说明:
参数
必选
描述
Version
是
定义了策略的版本,智能媒体服务中Version固定为1。
Statement
是
可以根据业务场景包含多条语义,每条包含对Action、Resource、Effect和Condition的描述。
Action
是
支持的Action操作与OpenAPI对应,格式为
ice:API名称,多个使用英文逗号分隔。通过指定授权的Action列表,可以组合出对应的权限分组。所有可用操作,请参见API概览。Resource
是
表示智能媒体服务某个具体的资源或某些资源(支持通配符
*),Resource的规则是acs:ice:<regionId>:<accountId>:*。Resource也可以为列表,表示有多个Resource。其中regionId字段暂不支持,请设置为*。由于智能媒体服务现在没有进一步区分资源,因此建议授权媒资库资源时Resource填*或acs:ice:*:*:*。Effect
是
授权效果,包括允许(Allow)和拒绝(Deny)。每次请求时,系统会逐条依次匹配检查,所有匹配成功的Statement会根据Effect的值,如果匹配成功的都为
Allow,则该条请求允许访问;如果匹配成功有一条为Deny,或者没有任何条目匹配成功,则该条请求禁止访问。重要当权限策略中同时包含
Allow和Deny时,遵循Deny优先原则。Condition
否
表示策略授权的一些条件,可以对访问来源等进行限制,详情请参见条件(Condition)。
授予智能媒体服务所有资源的只读访问权限
{ "Version": "1", "Statement": [ { "Action": [ "ice:Get*", "ice:List*", "ice:Search*", "ice:Describe*" ], "Resource": "acs:ice:*:*:*", "Effect": "Allow" } ] }授予智能媒体服务完整权限(包含写权限)
{ "Statement": [ { "Effect": "Allow", "Action": "ice:*", "Resource": "acs:ice:*:*:*" } ], "Version": "1" }
授权信息参考
使用自定义权限策略,您需要了解业务的权限管控需求,并了解智能媒体服务的授权信息。详细内容请参见授权信息。