如果您想對許可權進行細粒度控制,您可以自訂策略,然後授予RAM使用者自訂策略許可權。本文以授予RAM使用者Container Registry控制台企業版執行個體下的某個命名空間的讀寫權限為例,介紹如何自訂策略。
建立自訂策略
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
將以下策略內容複寫到文字框中,根據實際情況替換策略內容中的
instanceid
和namespace
,然後單擊繼續編輯基本資料。如果您想要授予RAM使用者更多的許可權,編輯策略內容時,
Action
和Resource
的配置,請參見RAM授權資訊。關於策略文法的詳細介紹,請參見權限原則文法和結構。說明策略內容中的
*
,表示完全符合,例如cr:ListInstance*
表示授予cr:ListInstance開頭的所有action,設定acs:cr:*:*:repository/$instanceid/$namespace/*
為acs:cr:*:*:repository/cri-123456/ns/*
,表示授予所有地區下ID為cri-123456的執行個體的ns命名空間下的所有許可權。{ "Statement": [ { "Effect": "Allow", "Action": [ "cr:ListInstance*", "cr:GetInstance*", "cr:ListSignature*" ], "Resource": "*" }, { "Action": [ "cr:*" ], "Effect": "Allow", "Resource": [ "acs:cr:*:*:repository/$instanceid/$namespace/*", "acs:cr:*:*:repository/$instanceid/$namespace" ] }, { "Action": [ "cr:List*" ], "Effect": "Allow", "Resource": [ "acs:cr:*:*:repository/$instanceid/*", "acs:cr:*:*:repository/$instanceid/*/*" ] } ], "Version": "1" }
輸入權限原則名稱和備忘。
單擊確定。
授予RAM使用者自訂策略
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
單擊確認新增授權。
單擊關閉。
使用RAM使用者登入容器鏡像控制台。您可以在容器鏡像控制台授予的命名空間下進行構建、推送、拉取鏡像等操作。