本文介紹如何通過自定義策略為RAM用戶授權。
前提條件
2022年08月26日0點之后開通ARMS的用戶默認支持此功能,2022年08月26日0點之前開通ARMS的用戶需要通過提交工單開通此功能。
在創建自定義授權策略時,您需要了解授權策略語言的基本結構和語法。更多信息,請參見權限策略基本元素。
背景信息
ARMS提供粗粒度的系統授權策略,如果這種粗粒度授權策略不能滿足您的需要,那么您可以創建自定義授權策略。例如,您想控制RAM用戶對某個具體應用的操作權限,您必須使用自定義授權策略才能滿足這種細粒度要求。
步驟一:創建自定義授權策略
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在權限策略頁面,單擊創建權限策略。
在創建權限策略頁面,單擊腳本編輯頁簽。在策略文檔中編寫您的授權策略內容。
授權策略內容中各元素說明,請參見權限策略元素說明。
示例:杭州地域所有應用的只讀權限。
{ "Version": "1", "Statement": [ { "Action": [ "arms:ReadRumApp" ], "Resource": "acs:arms:cn-hangzhou:*:armsweb/*", "Effect": "Allow", "Condition": { } } ] }輸入權限策略內容,然后單擊繼續編輯基本信息。
輸入權限策略名稱和備注。
單擊確定。
步驟二:為RAM用戶添加權限策略
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。系統會自動選擇當前的RAM用戶。
選擇權限策略。
權限策略是一組訪問權限的集合,分為以下兩種。支持批量選中多條權限策略。
單擊確認新增授權。
單擊關閉。
權限策略元素說明
效果(Effect)
授權效果包括兩種:允許(Allow)和拒絕(Deny)。
操作(Action)
Action | 權限說明 |
arms:ReadRumApp | 前端監控只讀權限,用于查看應用總覽、會話追蹤、JS診斷錯誤等信息。 |
arms:SaveRumApp | 前端監控保存權限,用于創建前端監控應用站點。 |
arms:DeleteRumApp | 前端監控刪除權限,即刪除前端應用的權限。 |
資源(Resource)
用于指定被授權的具體對象。
格式如下:
"Resource": [
"acs:arms:<regionid>:*:armsweb/<appname>"
]請將
<regionid>替換為指定地域ID。如果當前授權針對所有地域,可替換為*。請將
<appname>替換指定應用名稱。如果當前授權針對所有應用,可替換為*;如果當前授權針對的應用名稱擁有相同前綴,可替換為名稱前綴*,例如test*。