本教程示例詳細演示了如何使用 RAM Policy 控制用戶對 IVPD 服務的訪問。
本教程示例詳細演示了如何使用 RAM Policy 控制用戶對 IVPD 服務的訪問。
一、操作步驟
二、Policy策略
1. 全部權限
擁有IVPD的全部權限。
{
"Statement": [
{
"Effect": "Allow",
"Action": "ivpd:*",
"Resource": "acs:ivpd:*:*:*"
}
],
"Version": "1"
}2. 支持帶IP/SSL限制的授權
{
"Statement": [
{
"Effect": "Allow",
"Action": "ivpd:*",
"Resource": "acs:ivpd:*:*:*",
"Condition": {
"IpAddress": {
"acs:SourceIp": "42.120.xx.xx/24"
},
"Bool": {
"acs:SecureTransport": "true"
}
}
}
],
"Version": "1"
}以上授權的含義是:當滿足以下兩個條件時可以訪問所有資源
子用戶當前的IP在42.120.xx.xx/24這個網段
子用戶正在使用HTTPS訪問阿里云控制臺或OpenAPI
3. 時間限制
{
"Statement": [
{
"Effect": "Allow",
"Action": "ivpd:*",
"Resource": "acs:ivpd:*:*:*",
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2019-09-25T12:30:00+08:00"
}
}
}
],
"Version": "1"
}以上授權的含義是:在北京時間2019年9月25日下午12:30之前,擁有IVPD的所有權限。
4. MFA
{
"Statement": [
{
"Effect": "Allow",
"Action": "ivpd:*",
"Resource": "acs:ivpd:*:*:*",
"Condition": {
"Bool": {
"acs:MFAPresent": "true"
}
}
}
],
"Version": "1"
}如果一個子用戶僅被授予如上授權策略,只有此子用戶啟用MFA并使用MFA登錄時,才具有IVPD的權限;此用戶的AK也沒有權限,需要使用AK+正確的MFA六位Code調用STS服務獲取一個臨時AK(15分鐘失效),此臨時AK才具有響應的權限。
5. 控制臺角色STS
STS Token是一種臨時身份,用來解決跨賬號及跨服務的資源訪問的問題
STS Token由以下三部分組成
AccessKeyId
AccessKeySecret
SecurityToken
操作步驟:
1)在RAM控制臺創建本賬戶的用戶角色,給角色授權(該產品的管理權限或者AdministratorAccess);
2)創建一個子用戶,給子用戶授權AliyunSTSAssumeRoleAccess;
3)被創建出來的子用戶登錄到控制臺,切換身份,輸入1中創建的角色名和企業別名(如果沒有別名,輸入主賬戶Id)
4)切換到角色后,在瀏覽器里輸入產品控制臺的地址;
5) 在控制臺使用這個產品
文檔內容是否對您有幫助?