功能概述

用户可以通过 IAM 策略定义一系列服务或资源的访问权限范围,然后将其引用到指定的身份或 IAM 用户上。当 IAM 身份或用户附加了某条策略,则代表该身份具备此策略所定义的权限,并将会在身份使用时根据权限定义启动策略评估。

说明

目前,自有部分云平台服务可以通过 IAM 来控制访问权限。只有经过 IAM 集成的服务才可以创建自定义策略,未集成的服务将会默认被 IAM 评估拒绝。

  • 策略评估

    策略评估时 多条策略叠加取并集,并 默认拒绝 未定义任何权限的操作。若叠加的策略中针对同一操作定义了不同结论,则 拒绝优先。如对策略叠加的预期评估结论产生疑问时,用户可以使用策略模拟器获得准确的测试结论。

  • 策略类型

    策略分为 预置策略自定义策略应用托管策略

    • 预置策略

      是企业云平台为满足用户的日常管理需求而内置的,无法删除和更改的策略。

    • 应用托管策略

      是由企业云平台的 AppCenter 应用开发者定义,用户在部署相应应用时即自动生成,也是无法自主删除和更改的。

    • 自定义策略

      是由用户根据需求,自行创建的策略,支持删除和更改。

操作步骤

  1. 通过 Web 浏览器登录企业云平台的 Console。

  2. 在顶部菜单栏中选择产品与服务 > 访问与授权 > 访问鉴权管理 IAM,默认进入身份列表页面。

  3. 在左侧导航栏中,点击策略管理,进入策略列表页面。

    iam_policy_list

  4. 点击列表上方的创建,进入创建策略对话框。

  5. 企业云平台为用户提供了可视化编辑JSON 编辑两种创建自定义策略的方式。系统默认引导可视化策略创建,用户可根据需求,随时切换两种创建方式。

    iam_policy_create

    • 可视化创建

      1. 点击添加服务类别,选择需要加入策略的服务。

      2. 例如添加 弹性云服务器,策略页面将按只读、维护和敏感分类列出该服务下的所有操作。用户可以通过操作名称或 API 关键字搜索相关操作,页面将实时展示符合条件的操作列表。

        policy5

      3. 点击显示 API 指令,切换到 API 的方式查看这些操作明细。

      4. 展开操作分类后,勾选需要加入到策略的操作即可为这些操作设置 允许 权限。如果需要为被勾选的操作赋予 拒绝 权限,则点击切换以拒绝权限

      5. 为选择的操作设定权限作用范围,默认是作用于 全部资源,如需将权限范围圈定到部分特定资源上,点击特定资源并配置资源标识符 QRN 即可。

      6. 由于策略可以是多个相同或不同服务类别的不同权限集合,用户可通过再次点击添加服务类别并循环前面的操作以将一系列不同的权限集合在一起。

      7. 确认内容创建无误后,点击下一步,进入策略审阅界面。填写自定义策略的名称和描述后,点击创建即完成策略的创建步骤。

      8. 在创建成功的提示页面可根据指引点击进入策略模拟器或者策略详情页。

    • JSON 编辑

      1. 若用户对策略有更灵活的要求,则可以在策略创建过程中随时点击 JSON 编辑切换到配置文件编辑模式,切换到配置文件编辑模式后,系统会自动将已可视化编辑的配置实时显示其中,用户可以直接在该基础上进行编辑。如下图所示。

        图片
        说明

        策略是由 JSON 格式创建的配置文件,因此当用户选择使用 JSON 编辑来创建策略时,其格式需满足策略 JSON 编辑格式及参数说明。否则,策略可能会创建失败,或偏离预期的效果。

      2. 确认内容编辑无误后可以点击下一步,进入策略审阅界面,填写自定义策略的名称和描述后点击创建即可创建成功。