RAM用戶權(quán)限管理最佳實(shí)踐
如需對(duì)RAM用戶使用云防火墻相關(guān)功能做精細(xì)化的權(quán)限管理,您可以通過授予RAM用戶系統(tǒng)權(quán)限策略或自定義權(quán)限策略來實(shí)現(xiàn)。本文介紹如何授予RAM用戶系統(tǒng)權(quán)限策略和自定義權(quán)限策略,實(shí)現(xiàn)精細(xì)化的權(quán)限管理。
背景信息
阿里云訪問控制服務(wù)為各云產(chǎn)品提供默認(rèn)的訪問控制系統(tǒng)策略,同時(shí)支持用戶自定義訪問控制策略。系統(tǒng)策略由阿里云默認(rèn)創(chuàng)建,不支持修改。您可以使用自定義權(quán)限對(duì)RAM用戶訪問和操作云防火墻進(jìn)行精確的限制。
云防火墻支持的默認(rèn)策略為AliyunYundunCloudFirewallFullAccess(表示允許RAM用戶對(duì)云防火墻的所有功能進(jìn)行操作)和AliyunYundunCloudFirewallReadOnlyAccess(表示允許RAM用戶只讀訪問云防火墻的所有數(shù)據(jù))。
前提條件
已創(chuàng)建RAM用戶。具體操作,請參見創(chuàng)建RAM用戶。
授予RAM用戶系統(tǒng)策略
阿里云提供了費(fèi)用中心、訪問或管理云防火墻相關(guān)的系統(tǒng)策略。如果RAM用戶購買、續(xù)費(fèi)、退訂云防火墻實(shí)例時(shí)提示無權(quán)限,或RAM用戶訪問云防火墻提示暫無權(quán)限,請檢查權(quán)限,您可以參考以下步驟授予RAM用戶對(duì)應(yīng)的系統(tǒng)策略實(shí)現(xiàn)為RAM用戶授權(quán)。
費(fèi)用中心的系統(tǒng)權(quán)限策略對(duì)所有云產(chǎn)品生效。給RAM用戶授權(quán)費(fèi)用中心相關(guān)系統(tǒng)策略后,RAM用戶將擁有購買、續(xù)費(fèi)、退訂所有云產(chǎn)品的權(quán)限。
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在用戶頁面,單擊目標(biāo)RAM用戶操作列的添加權(quán)限。
您也可以選中多個(gè)RAM用戶,單擊用戶列表下方的添加權(quán)限,為RAM用戶批量授權(quán)。
在添加權(quán)限面板,為RAM用戶添加權(quán)限。
選擇資源范圍。
賬號(hào)級(jí)別:權(quán)限在當(dāng)前阿里云賬號(hào)內(nèi)生效。
資源組級(jí)別:權(quán)限在指定的資源組內(nèi)生效。
重要指定資源組授權(quán)生效的前提是該云服務(wù)及資源類型已支持資源組,詳情請參見支持資源組的云服務(wù)。資源組授權(quán)示例,請參見使用資源組限制RAM用戶管理指定的ECS實(shí)例。
授權(quán)主體會(huì)自動(dòng)填入當(dāng)前RAM用戶,無需手動(dòng)填寫。
根據(jù)使用場景選擇系統(tǒng)策略下的指定策略,并單擊確定。
場景
系統(tǒng)策略
購買、續(xù)費(fèi)、退訂云防火墻實(shí)例
AliyunBSSOrderAccess、AliyunBSSRefundAccess
只讀訪問云防火墻
AliyunYundunCloudFirewallReadOnlyAccess
管理云防火墻
AliyunYundunCloudFirewallFullAccess
單擊關(guān)閉。
授予RAM用戶自定義策略
參考以下步驟使用自定義權(quán)限對(duì)RAM用戶訪問和操作云防火墻進(jìn)行精確的限制。
一、創(chuàng)建云防火墻自定義權(quán)限策略
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在權(quán)限策略頁面,單擊創(chuàng)建權(quán)限策略。
在創(chuàng)建權(quán)限策略頁面,單擊腳本編輯頁簽。
根據(jù)您的使用場景配置對(duì)應(yīng)腳本。
說明在運(yùn)維人員權(quán)限場景中,該腳本的權(quán)限策略允許RAM用戶使用漏洞掃描、漏洞修復(fù)、基線檢查和資產(chǎn)中心功能并進(jìn)行相關(guān)操作。添加該策略后,RAM用戶具體可以執(zhí)行的操作,請參見支持自定義權(quán)限策略的操作表格中的Action及其說明。
場景
腳本
云防火墻管理權(quán)限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:*" ], "Resource": [ "*" ], "Condition": {} } ] }訪問控制策略修改權(quán)限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:*ControlPolicy*" ], "Resource": [ "*" ], "Condition": {} } ] }云防火墻開關(guān)權(quán)限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:*Switch*" ], "Resource": [ "*" ], "Condition": {} } ] }輸入權(quán)限策略內(nèi)容,然后單擊確定。
在創(chuàng)建權(quán)限策略彈窗中設(shè)置權(quán)限策略名稱和備注,然后單擊確定。
二、為RAM用戶授權(quán)
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在授權(quán)頁面,單擊新增授權(quán)。
在新增授權(quán)面板,為RAM用戶添加權(quán)限。
新創(chuàng)建的RAM用戶默認(rèn)不支持任何權(quán)限。
選擇資源范圍。
賬號(hào)級(jí)別:權(quán)限在當(dāng)前阿里云賬號(hào)內(nèi)生效。
資源組級(jí)別:權(quán)限在指定的資源組內(nèi)生效。
重要指定資源組授權(quán)生效的前提是該云服務(wù)及資源類型已支持資源組,詳情請參見支持資源組的云服務(wù)。資源組授權(quán)示例,請參見使用資源組限制RAM用戶管理指定的ECS實(shí)例。
選擇授權(quán)主體。
授權(quán)主體即需要添加權(quán)限的RAM用戶。支持批量選中多個(gè)RAM用戶。
在系統(tǒng)策略頁簽下,搜索并選擇AliyunYundunCloudFirewallReadOnlyAccess策略。
該系統(tǒng)策略可以授予運(yùn)維人員只讀訪問云防火墻服務(wù)的權(quán)限。
單擊自定義策略頁簽,選擇一、創(chuàng)建云防火墻自定義權(quán)限策略中創(chuàng)建的自定義策略。
單擊確定。
支持自定義權(quán)限策略的操作
云防火墻所有API均支持自定義權(quán)限策略。關(guān)于云防火墻的API列表,請參見API概覽。
RAM權(quán)限策略Action是yundun-cloudfirewall:+接口名稱,其中RAM自定義權(quán)限策略中的Action與該云產(chǎn)品的API一一對(duì)應(yīng)。例如,yundun-cloudfirewall:DescribeAssetList就表示查詢云防火墻防護(hù)的資產(chǎn)的信息,對(duì)應(yīng)的API是DescribeAssetList - 查詢云防火墻防護(hù)的資產(chǎn)的信息。