策略是用于定义和描述一条或多条权限的语法规范,可以赋予、撤销给不同的身份用户。IAM 支持两种类型的策略,系统策略和自定义策略。
创建策略:
主账户或者授权的子用户可以为主账户创建新的自定义策略,操作如下:
使用主账户或者已授权的子用户身份登录控制台(新版);
选择“访问控制”一级菜单->选择“权限管理”二级菜单;
在“策略”列表页面,选择“自定义策略”tab页,点击“新建策略”按钮,进入“新建策略”向导对话框,如下图:
目前支持三种创建自定义策略的方式:分为按“产品功能/项目权限”自定义的策略、按“可视化配置”自定义的策略和按“策略语法”自定义的策略。
流程分为两步:
1、在“新建策略”页面,选中“产品功能/项目权限”,选择“服务类型”,可多选;
2、开启所选服务类型下的功能权限,每个服务类型下需至少开启一个功能权限,点击“创建策略”,完成自定义策略;
流程分为两步:
1、在“新建策略”页面,选中“可视化配置”,点击“添加策略语句”;
2、在“添加策略语句”对话框,选择“产品服务”和对应的“操作名称”,也可以对“资源范围”和“限制条件”进行编辑;
限制条件:勾选IP区间选项,填写限制ip的具体值,支持单一ip地址和ip段。例如下图中,只允许ip为10.31.24.21访问对应的open-api
流程分为两步:
1、在“新建策略”页面,选中“策略语法”,选择所需的“策略模板”,点击下一步;
2、在“编辑策略内容”页面进行策略编辑,完成后点击“验证策略”,当页面上方弹出“策略文档格式正确”的提示,确认无误后,点击“创建策略”;
3、包含IP限制条件的策略例子如下:该策略只允许ip为10.31.24.21和10.31.23.11/24的ip段访问对应的open-api
策略如下:
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListUsers"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"ksc:SourceIp": [
"10.31.24.21",
"10.31.23.11/24"
]
}
}
}
]
}
文档内容是否对您有帮助?
评价建议不能为空
非常感谢您的反馈,我们会继续努力做到更好!