如果您想對權限進行細粒度控制,您可以自定義策略,然后授予RAM用戶自定義策略權限。本文以授予RAM用戶容器鏡像服務控制臺企業版實例下的某個命名空間的讀寫權限為例,介紹如何自定義策略。
創建自定義策略
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在權限策略頁面,單擊創建權限策略。
在創建權限策略頁面,單擊腳本編輯頁簽。
將以下策略內容復制到文本框中,根據實際情況替換策略內容中的
instanceid和namespace。如果您想要授予RAM用戶更多的權限,編輯策略內容時,
Action和Resource的配置,請參見RAM授權信息。關于策略語法的詳細介紹,請參見權限策略語法和結構。說明策略內容中的
*,表示完全匹配,例如cr:ListInstance*表示授予cr:ListInstance開頭的所有action,設置acs:cr:*:*:repository/$instanceid/$namespace/*為acs:cr:*:*:repository/cri-123456/ns/*,表示授予所有地域下ID為cri-123456的實例的ns命名空間下的所有權限。{ "Statement": [ { "Effect": "Allow", "Action": [ "cr:ListInstance*", "cr:GetInstance*", "cr:ListSignature*" ], "Resource": "*" }, { "Action": [ "cr:*" ], "Effect": "Allow", "Resource": [ "acs:cr:*:*:repository/$instanceid/$namespace/*", "acs:cr:*:*:repository/$instanceid/$namespace" ] }, { "Action": [ "cr:List*" ], "Effect": "Allow", "Resource": [ "acs:cr:*:*:repository/$instanceid/*", "acs:cr:*:*:repository/$instanceid/*/*" ] } ], "Version": "1" }單擊確定。然后在創建權限策略對話框中填寫名稱和備注。
授予RAM用戶自定義策略
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。系統會自動選擇當前的RAM用戶。
選擇權限策略。
權限策略是一組訪問權限的集合,分為以下兩種。支持批量選中多條權限策略。
單擊確認新增授權。
單擊關閉。
使用RAM用戶登錄容器鏡像控制臺。您可以在容器鏡像控制臺授予的命名空間下進行構建、推送、拉取鏡像等操作。