全部文档
当前文档

暂无内容

如果没有找到您期望的内容,请尝试其他搜索词

文档中心

策略配置

最近更新时间:2022-05-31 17:33:52

您可以按需选择已有的系统策略,也可以根据实际需求场景自定义策略。

系统策略

容器镜像服务KCR目前提供两种系统策略:容器镜像服务(KCR)全读写权限KCRFullAccess容器镜像服务(KCR)只读权限KCRReadOnlyAccess,您直接授权即可使用。

KCRFullAccess:容器镜像服务(KCR)全读写权限

子用户拥有该授权后,将具有KCR全部资源的全部操作权限。

{
    "Version": "2015-11-01",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kcrs:*",
                "vpc:Describe*"
             ],   
            "Resource": "*"
        }
    ]
}

KCRReadOnlyAccess:容器镜像服务(KCR)只读权限

子用户拥有该授权后,将具有KCR全部资源的只读权限,例如:可以查看仓库信息,Pull镜像等。

{
  "Version": "2015-11-01",
  "Statement": [
    {
      "Action": [
        "kcrs:Describe*",
        "kcrs:Get*",
	"kcrs:StartImageScan",
	"vpc:Describe*",
        "kcrs:Pull*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

授予系统策略操作步骤

以下以授权用户KCRFullAccess权限策略为例:

  1. 登录访问管理控制台
  2. 选择人员管理 > 子用户,进入到子用户管理页面。
  3. 在子用户列表,找到目标子用户,单击操作列的添加权限按钮。
  4. 添加权限页面中选择系统策略,在文本框中输入并勾选KCRFullAccess策略。
  5. 单击确定,完成权限添加。

自定义策略

如果用户想对权限进行细粒度控制,可以自定义策略,然后授予子用户自定义策略权限即可。以下将提供典型场景下的策略配置来方便用户使用。

  • 授权子用户管理指定实例并进行实例相关操作,例如主账号ID:12345,管理北京地域(cn-beijing-6)下的实例,实例ID:kcr-xxxxxxxx。
{
  "Version": "2015-11-01",
  "Statement": [
    {
      "Action": [
        "kcrs:*"
      ],
      "Resource": "krn:ksc:kcrs:cn-beijing-6:12345:instance/kcr-xxxxxxxx",
      "Effect": "Allow"
    }
  ]
}
  • 授权子用户管理指定实例内的指定命名空间进行相关操作,例如主账号ID:12345,北京地域(cn-beijing-6)下的实例,实例ID:kcr-xxxxxxxx,命名空间名称为test。
{
	"Version": "2015-11-01",
	"Statement": [
		{
			"Action": [
				"kcrs:*"
			],
			"Resource": "krn:ksc:kcrs:cn-beijing-6:12345:namespace/kcr-xxxxxxxx/test",
			"Effect": "Allow"
		},
		{
			"Action": [
				"kcrs:DescribeInstance",
				"kcrs:DescribeInstanceUsage"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": [
				"kcrs:DescribeNamespace",
				"kcrs:DescribeNamespaceExist"
			],
			"Resource": "*",
			"Effect": "Allow"
		}
	]
}

授予自定义策略操作步骤

创建自定义策略

相关操作您可以参考此文档:创建自定义策略

注:您可以在设置策略类型中选择通过可视化配置创建,也可以选择通过策略语法创建。

授予用户自定义策略

方法一:在策略页面为子用户授权

  1. 登录访问控制控制台
  2. 选择权限管理 > 策略
  3. 自定义策略列表页中,找到要授权的目标策略,单击操作列的关联对象按钮。
  4. 关联对象面板,选择要授权的子用户。
  5. 单击确定,完成权限添加。

方法二:在策略页面为子用户授权

  1. 登录访问管理控制台
  2. 选择人员管理 > 子用户,进入到子用户管理页面。
  3. 在子用户列表,找到目标子用户,单击操作列的添加权限按钮。
  4. 添加权限页面中选择您创建的自定义策略。
  5. 单击确定,完成权限添加。

其他

当您为指定用户授予创建实例策略时,因创建实例需要下订单,故您需要为该用户绑定系统策略:PayOrderAccess,避免您后续购买实例失败。

文档导读
纯净模式常规模式

纯净模式

点击可全屏预览文档内容
文档反馈