如果系統權限策略不能滿足您的要求,您可以創建自定義權限策略實現最小授權。使用自定義權限策略有助于實現權限的精細化管控,是提升資源訪問安全的有效手段。本文介紹智能媒體服務使用自定義權限策略的場景和策略示例。
什么是自定義權限策略
在基于RAM的訪問控制體系中,自定義權限策略是指在系統權限策略之外,您可以自主創建、更新和刪除的權限策略。自定義權限策略的版本更新需由您來維護。
創建自定義權限策略后,需為RAM用戶、用戶組或RAM角色綁定權限策略,這些RAM身份才能獲得權限策略中指定的訪問權限。
已創建的權限策略支持刪除,但刪除前需確保該策略未被引用。如果該權限策略已被引用,您需要在該權限策略的引用記錄中移除授權。
自定義權限策略支持版本控制,您可以按照RAM規定的版本管理機制來管理您創建的自定義權限策略版本。
操作文檔
常見自定義權限策略場景及示例
本文以“授予智能媒體服務部分資源的只讀訪問權限”為例進行參數字段詳解,其他策略示例類似,不再重復。
授予智能媒體服務部分資源的只讀訪問權限
{ "Version": "1", "Statement": [ { "Action": [ "ice:GetMediaProducingJob", "ice:GetEditingProject", "ice:GetMediaInfo", "ice:ListMediaBasicInfos", "ice:SearchEditingProject" ], "Resource": "*", "Effect": "Allow", "Condition": { "IpAddress": { "acs:SourceIp": "192.168.0.1" } } } ] }參數字段說明:
參數
必選
描述
Version
是
定義了策略的版本,智能媒體服務中Version固定為1。
Statement
是
可以根據業務場景包含多條語義,每條包含對Action、Resource、Effect和Condition的描述。
Action
是
支持的Action操作與OpenAPI對應,格式為
ice:API名稱,多個使用英文逗號分隔。通過指定授權的Action列表,可以組合出對應的權限分組。所有可用操作,請參見API概覽。Resource
是
表示智能媒體服務某個具體的資源或某些資源(支持通配符
*),Resource的規則是acs:ice:<regionId>:<accountId>:*。Resource也可以為列表,表示有多個Resource。其中regionId字段暫不支持,請設置為*。由于智能媒體服務現在沒有進一步區分資源,因此建議授權媒資庫資源時Resource填*或acs:ice:*:*:*。Effect
是
授權效果,包括允許(Allow)和拒絕(Deny)。每次請求時,系統會逐條依次匹配檢查,所有匹配成功的Statement會根據Effect的值,如果匹配成功的都為
Allow,則該條請求允許訪問;如果匹配成功有一條為Deny,或者沒有任何條目匹配成功,則該條請求禁止訪問。重要當權限策略中同時包含
Allow和Deny時,遵循Deny優先原則。Condition
否
表示策略授權的一些條件,可以對訪問來源等進行限制,詳情請參見條件(Condition)。
授予智能媒體服務所有資源的只讀訪問權限
{ "Version": "1", "Statement": [ { "Action": [ "ice:Get*", "ice:List*", "ice:Search*", "ice:Describe*" ], "Resource": "acs:ice:*:*:*", "Effect": "Allow" } ] }授予智能媒體服務完整權限(包含寫權限)
{ "Statement": [ { "Effect": "Allow", "Action": "ice:*", "Resource": "acs:ice:*:*:*" } ], "Version": "1" }
授權信息參考
使用自定義權限策略,您需要了解業務的權限管控需求,并了解智能媒體服務的授權信息。詳細內容請參見授權信息。