阿里云權限管理機制包括訪問控制(簡稱RAM)和安全憑證管理(簡稱STS),靈活使用RAM和STS,可以極大地提高管理的靈活性和安全性。本文介紹如何授予RAM用戶系統策略。
前提條件
已使用阿里云賬號創建RAM用戶。具體操作,請參見創建RAM用戶。
背景信息
阿里云權限管理機制包括訪問控制(簡稱RAM)和安全憑證管理(簡稱STS),靈活使用RAM和STS,可以極大地提高管理的靈活性和安全性。默認情況下,阿里云賬號對自己的資源擁有完整的操作權限。借助RAM和STS,可以使不同的RAM用戶擁有訪問鏡像資源的不同權限,同時也支持提供臨時的訪問授權。在了解如何配置授權策略前,請先詳細閱讀RAM產品文檔。
授予RAM用戶權限策略后,使用RAM用戶登錄容器鏡像控制臺,需要創建個人版實例和設置Registry密碼,然后才能查看擁有權限的鏡像資源。
RAM說明
在使用RAM對RAM用戶授權時,請特別關注下面的說明,以免您為RAM用戶授予過大的權限。
如果您通過RAM為某一個RAM用戶授予阿里云所有資源的管理權限(即AdministratorAccess),無論您之前是否為該RAM用戶授予過鏡像服務的權限,該RAM用戶都將擁有對鏡像服務的全部權限。
系統策略說明
ACR默認已創建AliyunContainerRegistryFullAccess和AliyunContainerRegistryReadOnlyAccess策略,您直接授權使用即可。
AliyunContainerRegistryFullAccess
RAM用戶擁有該授權后,對于鏡像資源的權限等同于阿里云賬號,可以做任意操作。
{ "Statement": [ { "Action": "cr:*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }AliyunContainerRegistryReadOnlyAccess
RAM用戶擁有該授權后,對于所有鏡像資源有只讀權限,例如:可以查看倉庫列表,Pull鏡像等。
{ "Statement": [ { "Action": [ "cr:Get*", "cr:List*", "cr:Pull*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
操作步驟
本文以授予RAM用戶AliyunContainerRegistryReadOnlyAccess權限為例:
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。
在新增授權面板,為RAM用戶添加權限。
選擇授權應用范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
說明指定資源組授權生效的前提是該云服務已支持資源組。更多信息,請參見支持資源組的云服務。
輸入被授權主體。
被授權主體即需要授權的RAM用戶,系統會自動填入當前的RAM用戶,您也可以添加其他RAM用戶。
在權限策略搜索框中搜索AliyunContainerRegistryReadOnlyAccess,然后單擊AliyunContainerRegistryReadOnlyAccess。
單擊確認新增授權。
單擊關閉。
相關文檔
如果您想對權限進行細粒度控制,請參見授予RAM用戶自定義策略。
如果您想了解更多鑒權規則,請參見RAM授權信息。