系统预置的权限不能满足要求时,您可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。
1、在服务列表,选择“管理与部署 > 统一身份认证服务”。在左侧导航窗格中,单击“策略”。在“策略”界面,单击“创建自定义策略”。
2、输入“策略名称”。选择“作用范围”。
-
全局级服务:生效范围为全局,该策略在所有区域都生效。
-
项目级服务:策略生效的范围为各区域中的项目,该策略仅在授权项目中生效,如果需要对多个项目生效,需要分别对多个项目进行授权。
例如:创建云硬盘的权限管理策略("evs:volumes:create"),由于EVS服务属于项目级服务,作用范围必须选择项目级服务,如果需要该策略对多个项目生效,需要对多个项目分别授权。
3、(可选)输入“策略描述”。
在“策略信息”区域,单击“选择模板”,例如选择“VPC Admin”作为模板。
4、单击“确定”。
修改模板中策略授权语句(Statement)中的作用(Effect)和权限集(Action)。详情请参考策略语音说明
说明:
²自定义策略版本号(Version)固定为1.1,不可修改。
²自定义策略中可以包含多个策略授权语句(Statement)。
²作用(Effect):允许(Allow)和拒绝(Deny),当策略中既有Allow又有Deny的授权语句时,遵循Deny优先的原则。
²权限集(Action):写入各服务API授权项列表中“授权项”中的内容,例如:"vpc:vpcs:create",来调用表格左侧的“API”,实现“API功能”支持的权限管理。
授权项示例
5、单击“确定”。
说明:如果系统提示语法错误,请按照语法规范进行修改。
自定义策略创建成功。用户可以在用户组中选择新创建的自定义策略,实现细粒度授权。
后续操作
²修改自定义策略
当用户的权限发生变更时,您可以修改自定义策略。
单击自定义策略页签中,目标策略“操作”列的“修改”,修改自定义策略的名称、描述及策略信息。
²删除自定义策略
当您不再需要自定义授权策略时,您可以将自定义策略删除。
单击自定义策略页签中,目标策略“操作”列的“删除”,删除自定义策略。
²将新创建的自定义策略授权给用户组,使用户组中的用户具有策略定义的权限
a. 单击目标用户组“操作”列的“修改”。
b. 在“用户组权限”区域中,单击需要授权项目“操作”列的“修改”。
c. 在“策略”对话框中的“可选择策略”区域选择新创建的自定义策略。
