新建策略

最近更新时间:2019-10-16 16:32:38

策略管理:

策略是用于定义和描述一条或多条权限的语法规范,可以赋予、撤销给不同的身份用户。IAM 支持两种类型的策略,系统策略和自定义策略。 创建策略:

新建自定义策略

主账户或者授权的子用户可以为主账户创建新的自定义策略,操作如下: 使用主账户或者已授权的子用户身份登录控制台(新版); 选择“访问控制”一级菜单->选择“权限管理”二级菜单; 在“策略”列表页面,选择“自定义策略”tab页,点击“新建策略”按钮,进入“新建策略”向导对话框,如下图:

33.png

34.png

目前支持三种创建自定义策略的方式:分为按“产品功能/项目权限”自定义的策略、按“可视化配置”自定义的策略和按“策略语法”自定义的策略。

按“产品功能/项目权限”自定义策略

流程分为两步: 1、在“新建策略”页面,选中“产品功能/项目权限”,选择“服务类型”,可多选;

35.png

2、开启所选服务类型下的功能权限,每个服务类型下需至少开启一个功能权限,点击“创建策略”,完成自定义策略;

36.png

按“可视化配置”自定义策略

流程分为两步: 1、在“新建策略”页面,选中“可视化配置”,点击“添加策略语句”;

38.png

2、在“添加策略语句”对话框,选择“产品服务”和对应的“操作名称”,也可以对“资源范围”和“限制条件”进行编辑;

66.png

限制条件:勾选IP区间选项,填写限制ip的具体值,支持单一ip地址和ip段。例如下图中,只允许ip为10.31.24.21访问对应的open-api

p1.png

按“策略语法”自定义策略

流程分为两步: 1、在“新建策略”页面,选中“策略语法”,选择所需的“策略模板”,点击下一步;

39.png

2、在“编辑策略内容”页面进行策略编辑,完成后点击“验证策略”,当页面上方弹出“策略文档格式正确”的提示,确认无误后,点击“创建策略”;

40.png

3、包含IP限制条件的策略例子如下:该策略只允许ip为10.31.24.21和10.31.23.11/24的ip段访问对应的open-api

p5.png

策略如下:

{
    "Version": "2015-11-01",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "ksc:SourceIp": [
                        "10.31.24.21",
                        "10.31.23.11/24"
                    ]
                }
            }
        }
    ]
}

金山云,开启您的云计算之旅

注册有礼