最近更新时间:2022-05-31 17:33:52
您可以按需选择已有的系统策略,也可以根据实际需求场景自定义策略。
容器镜像服务KCR目前提供两种系统策略:容器镜像服务(KCR)全读写权限KCRFullAccess和容器镜像服务(KCR)只读权限KCRReadOnlyAccess,您直接授权即可使用。
子用户拥有该授权后,将具有KCR全部资源的全部操作权限。
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kcrs:*",
"vpc:Describe*"
],
"Resource": "*"
}
]
}
子用户拥有该授权后,将具有KCR全部资源的只读权限,例如:可以查看仓库信息,Pull镜像等。
{
"Version": "2015-11-01",
"Statement": [
{
"Action": [
"kcrs:Describe*",
"kcrs:Get*",
"kcrs:StartImageScan",
"vpc:Describe*",
"kcrs:Pull*"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
以下以授权用户KCRFullAccess权限策略为例:
如果用户想对权限进行细粒度控制,可以自定义策略,然后授予子用户自定义策略权限即可。以下将提供典型场景下的策略配置来方便用户使用。
{
"Version": "2015-11-01",
"Statement": [
{
"Action": [
"kcrs:*"
],
"Resource": "krn:ksc:kcrs:cn-beijing-6:12345:instance/kcr-xxxxxxxx",
"Effect": "Allow"
}
]
}
{
"Version": "2015-11-01",
"Statement": [
{
"Action": [
"kcrs:*"
],
"Resource": "krn:ksc:kcrs:cn-beijing-6:12345:namespace/kcr-xxxxxxxx/test",
"Effect": "Allow"
},
{
"Action": [
"kcrs:DescribeInstance",
"kcrs:DescribeInstanceUsage"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kcrs:DescribeNamespace",
"kcrs:DescribeNamespaceExist"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
相关操作您可以参考此文档:创建自定义策略
注:您可以在设置策略类型中选择通过可视化配置创建,也可以选择通过策略语法创建。
方法一:在策略页面为子用户授权
方法二:在策略页面为子用户授权
当您为指定用户授予创建实例策略时,因创建实例需要下订单,故您需要为该用户绑定系统策略:PayOrderAccess,避免您后续购买实例失败。
纯净模式