RAM用戶權(quán)限管理最佳實(shí)踐
如需對(duì)RAM用戶使用云防火墻相關(guān)功能做精細(xì)化的權(quán)限管理,您可以通過(guò)授予RAM用戶系統(tǒng)權(quán)限策略或自定義權(quán)限策略來(lái)實(shí)現(xiàn)。本文介紹如何授予RAM用戶系統(tǒng)權(quán)限策略和自定義權(quán)限策略,實(shí)現(xiàn)精細(xì)化的權(quán)限管理。
背景信息
阿里云訪問(wèn)控制服務(wù)為各云產(chǎn)品提供默認(rèn)的訪問(wèn)控制系統(tǒng)策略,同時(shí)支持用戶自定義訪問(wèn)控制策略。系統(tǒng)策略由阿里云默認(rèn)創(chuàng)建,不支持修改。您可以使用自定義權(quán)限對(duì)RAM用戶訪問(wèn)和操作云防火墻進(jìn)行精確的限制。
云防火墻支持的默認(rèn)策略為AliyunYundunCloudFirewallFullAccess
(表示允許RAM用戶對(duì)云防火墻的所有功能進(jìn)行操作)和AliyunYundunCloudFirewallReadOnlyAccess
(表示允許RAM用戶只讀訪問(wèn)云防火墻的所有數(shù)據(jù))。
前提條件
已創(chuàng)建RAM用戶。具體操作,請(qǐng)參見創(chuàng)建RAM用戶。
授予RAM用戶系統(tǒng)策略
阿里云提供了費(fèi)用中心、訪問(wèn)或管理云防火墻相關(guān)的系統(tǒng)策略。如果RAM用戶購(gòu)買、續(xù)費(fèi)、退訂云防火墻實(shí)例時(shí)提示無(wú)權(quán)限,或RAM用戶訪問(wèn)云防火墻提示暫無(wú)權(quán)限,請(qǐng)檢查權(quán)限,您可以參考以下步驟授予RAM用戶對(duì)應(yīng)的系統(tǒng)策略實(shí)現(xiàn)為RAM用戶授權(quán)。
費(fèi)用中心的系統(tǒng)權(quán)限策略對(duì)所有云產(chǎn)品生效。給RAM用戶授權(quán)費(fèi)用中心相關(guān)系統(tǒng)策略后,RAM用戶將擁有購(gòu)買、續(xù)費(fèi)、退訂所有云產(chǎn)品的權(quán)限。
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇 。
在用戶頁(yè)面,單擊目標(biāo)RAM用戶操作列的添加權(quán)限。
您也可以選中多個(gè)RAM用戶,單擊用戶列表下方的添加權(quán)限,為RAM用戶批量授權(quán)。
在添加權(quán)限面板,為RAM用戶添加權(quán)限。
選擇資源范圍。
賬號(hào)級(jí)別:權(quán)限在當(dāng)前阿里云賬號(hào)內(nèi)生效。
資源組級(jí)別:權(quán)限在指定的資源組內(nèi)生效。
重要指定資源組授權(quán)生效的前提是該云服務(wù)及資源類型已支持資源組,詳情請(qǐng)參見支持資源組的云服務(wù)。資源組授權(quán)示例,請(qǐng)參見使用資源組限制RAM用戶管理指定的ECS實(shí)例。
授權(quán)主體會(huì)自動(dòng)填入當(dāng)前RAM用戶,無(wú)需手動(dòng)填寫。
根據(jù)使用場(chǎng)景選擇系統(tǒng)策略下的指定策略,并單擊確定。
場(chǎng)景
系統(tǒng)策略
購(gòu)買、續(xù)費(fèi)、退訂云防火墻實(shí)例
AliyunBSSOrderAccess、AliyunBSSRefundAccess
只讀訪問(wèn)云防火墻
AliyunYundunCloudFirewallReadOnlyAccess
管理云防火墻
AliyunYundunCloudFirewallFullAccess
單擊關(guān)閉。
授予RAM用戶自定義策略
參考以下步驟使用自定義權(quán)限對(duì)RAM用戶訪問(wèn)和操作云防火墻進(jìn)行精確的限制。
一、創(chuàng)建云防火墻自定義權(quán)限策略
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇 。
在權(quán)限策略頁(yè)面,單擊創(chuàng)建權(quán)限策略。
在創(chuàng)建權(quán)限策略頁(yè)面,單擊腳本編輯頁(yè)簽。
根據(jù)您的使用場(chǎng)景配置對(duì)應(yīng)腳本。
說(shuō)明在運(yùn)維人員權(quán)限場(chǎng)景中,該腳本的權(quán)限策略允許RAM用戶使用漏洞掃描、漏洞修復(fù)、基線檢查和資產(chǎn)中心功能并進(jìn)行相關(guān)操作。添加該策略后,RAM用戶具體可以執(zhí)行的操作,請(qǐng)參見支持自定義權(quán)限策略的操作表格中的Action及其說(shuō)明。
場(chǎng)景
腳本
云防火墻管理權(quán)限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:*" ], "Resource": [ "*" ], "Condition": {} } ] }
訪問(wèn)控制策略修改權(quán)限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:*ControlPolicy*" ], "Resource": [ "*" ], "Condition": {} } ] }
云防火墻開關(guān)權(quán)限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-cloudfirewall:*Switch*" ], "Resource": [ "*" ], "Condition": {} } ] }
輸入權(quán)限策略內(nèi)容,然后單擊確定。
在創(chuàng)建權(quán)限策略彈窗中設(shè)置權(quán)限策略名稱和備注,然后單擊確定。
二、為RAM用戶授權(quán)
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇 。
在授權(quán)頁(yè)面,單擊新增授權(quán)。
在新增授權(quán)面板,為RAM用戶添加權(quán)限。
新創(chuàng)建的RAM用戶默認(rèn)不支持任何權(quán)限。
選擇資源范圍。
賬號(hào)級(jí)別:權(quán)限在當(dāng)前阿里云賬號(hào)內(nèi)生效。
資源組級(jí)別:權(quán)限在指定的資源組內(nèi)生效。
重要指定資源組授權(quán)生效的前提是該云服務(wù)及資源類型已支持資源組,詳情請(qǐng)參見支持資源組的云服務(wù)。資源組授權(quán)示例,請(qǐng)參見使用資源組限制RAM用戶管理指定的ECS實(shí)例。
選擇授權(quán)主體。
授權(quán)主體即需要添加權(quán)限的RAM用戶。支持批量選中多個(gè)RAM用戶。
在系統(tǒng)策略頁(yè)簽下,搜索并選擇AliyunYundunCloudFirewallReadOnlyAccess策略。
該系統(tǒng)策略可以授予運(yùn)維人員只讀訪問(wèn)云防火墻服務(wù)的權(quán)限。
單擊自定義策略頁(yè)簽,選擇一、創(chuàng)建云防火墻自定義權(quán)限策略中創(chuàng)建的自定義策略。
單擊確定。
支持自定義權(quán)限策略的操作
云防火墻所有API均支持自定義權(quán)限策略。關(guān)于云防火墻的API列表,請(qǐng)參見API概覽。
RAM權(quán)限策略Action是yundun-cloudfirewall:
+接口名稱,其中RAM自定義權(quán)限策略中的Action與該云產(chǎn)品的API一一對(duì)應(yīng)。例如,yundun-cloudfirewall:DescribeAssetList
就表示查詢?cè)品阑饓Ψ雷o(hù)的資產(chǎn)的信息,對(duì)應(yīng)的API是DescribeAssetList - 查詢?cè)品阑饓Ψ雷o(hù)的資產(chǎn)的信息。
相關(guān)文檔
通過(guò)RAM管控多運(yùn)維人員的權(quán)限