Serverless應用引擎自定義權限策略參考
如果系統(tǒng)權限策略不能滿足您的要求,您可以創(chuàng)建自定義權限策略實現(xiàn)最小授權。使用自定義權限策略有助于實現(xiàn)權限的精細化管控,是提升資源訪問安全的有效手段。本文介紹Serverless 應用引擎 SAE(Serverless App Engine)使用自定義權限策略的場景和策略示例。
什么是自定義權限策略
在基于RAM的訪問控制體系中,自定義權限策略是指在系統(tǒng)權限策略之外,您可以自主創(chuàng)建、更新和刪除的權限策略。自定義權限策略的版本更新需由您來維護。
創(chuàng)建自定義權限策略后,需為RAM用戶、用戶組或RAM角色綁定權限策略,這些RAM身份才能獲得權限策略中指定的訪問權限。
已創(chuàng)建的權限策略支持刪除,但刪除前需確保該策略未被引用。如果該權限策略已被引用,您需要在該權限策略的引用記錄中移除授權。
自定義權限策略支持版本控制,您可以按照RAM規(guī)定的版本管理機制來管理您創(chuàng)建的自定義權限策略版本。
操作文檔
常見自定義權限策略場景及示例
場景一:命名空間級別的授權配置
示例:以華東2(上海)地域為例,如下需求列表展示了在本例中期望針對不同的命名空間允許執(zhí)行不同的操作,下方代碼塊展示了對應的權限策略。如您需要查看SAE支持的操作集合,請參考授權信息。
命名空間
允許的操作
全部命名空間
名稱以Query、List、Describe開頭的操作,以及名稱中包含Ingress、ChangeOrder、Pipeline的操作
名為test的命名空間
全部操作
{ "Version": "1", "Statement": [ { "Action": [ "sae:Query*", "sae:List*", "sae:Describe*", "sae:*Ingress*", "sae:*ChangeOrder*", "sae:*Pipeline*" ], "Resource": "acs:sae:cn-shanghai:*:*", "Effect": "Allow" }, { "Action": [ "sae:*" ], "Resource": [ "acs:sae:cn-shanghai:*:application/test/*" ], "Effect": "Allow" } ] }場景二:應用級別的授權配置
示例:以華東2(上海)地域為例,如下需求列表展示了在本例中期望針對不同的應用允許執(zhí)行不同的操作,下方代碼塊展示了對應的權限策略。如您需要查看SAE支持的操作集合,請參考授權信息。
應用
應用所在的命名空間
允許的操作
全部應用
全部命名空間
名稱以Query、List、Describe開頭的操作,以及名稱中包含Ingress、ChangeOrder、Pipeline的操作
ID為0c815215-46a1-46a2-ba1e-102a740****的應用
名為test的命名空間
全部操作
ID為e468a92b-1529-4d20-8ab1-9d1595dc****的應用
默認命名空間
全部操作
{ "Version": "1", "Statement": [ { "Action": [ "sae:Query*", "sae:List*", "sae:Describe*", "sae:*Ingress*", "sae:*ChangeOrder*", "sae:*Pipeline*" ], "Resource": "acs:sae:cn-shanghai:*:*", "Effect": "Allow" }, { "Action": [ "sae:*" ], "Resource": [ "acs:sae:cn-shanghai:*:application/test/0c815215-46a1-46a2-ba1e-0102a740****", "acs:sae:cn-shanghai:*:application/_default/e468a92b-1529-4d20-8ab1-9d1595dc****" ], "Effect": "Allow" } ] }