阿里雲許可權管理機制包括Resource Access Management(簡稱RAM)和安全憑證管理(簡稱STS),靈活使用RAM和STS,可以極大地提高管理的靈活性和安全性。本文介紹如何授予RAM使用者系統策略。
前提條件
已使用阿里雲帳號建立RAM使用者。具體操作,請參見建立RAM使用者。
背景資訊
阿里雲許可權管理機制包括存取控制(簡稱RAM)和安全憑證管理(簡稱STS),靈活使用RAM和STS,可以極大地提高管理的靈活性和安全性。預設情況下,阿里雲帳號對自己的資源擁有完整的操作許可權。藉助RAM和STS,可以使不同的RAM使用者擁有訪問鏡像資源的不同許可權,同時也支援提供臨時的訪問授權。在瞭解如何配置授權策略前,請先詳細閱讀RAM產品文檔。
授予RAM使用者權限策略後,使用RAM使用者登入容器鏡像控制台,需要建立個人版執行個體和設定Registry密碼,然後才能查看擁有許可權的鏡像資源。
RAM說明
在使用RAM對RAM使用者授權時,請特別關注下面的說明,以免您為RAM使用者授予過大的許可權。
如果您通過RAM為某一個RAM使用者授予阿里雲所有資源的系統管理權限(即AdministratorAccess),無論您之前是否為該RAM使用者授予過鏡像服務的許可權,該RAM使用者都將擁有對鏡像服務的全部許可權。
系統策略說明
ACR預設已建立AliyunContainerRegistryFullAccess和AliyunContainerRegistryReadOnlyAccess策略,您直接授權使用即可。
AliyunContainerRegistryFullAccess
RAM使用者擁有該授權後,對於鏡像資源的許可權等同於阿里雲帳號,可以做任意操作。
{ "Statement": [ { "Action": "cr:*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
AliyunContainerRegistryReadOnlyAccess
RAM使用者擁有該授權後,對於所有鏡像資源有隻讀許可權,例如:可以查看倉庫列表,Pull鏡像等。
{ "Statement": [ { "Action": [ "cr:Get*", "cr:List*", "cr:Pull*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
操作步驟
本文以授予RAM使用者AliyunContainerRegistryReadOnlyAccess許可權為例:
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在新增授權面板,為RAM使用者添加許可權。
選擇授權應用範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務已支援資源群組。更多資訊,請參見支援資源群組的雲端服務。
輸入被授權主體。
被授權主體即需要授權的RAM使用者,系統會自動填入當前的RAM使用者,您也可以添加其他RAM使用者。
在所有策略類型下單擊自訂策略,在文字框中輸入AliyunContainerRegistryReadOnlyAccess,然後單擊AliyunContainerRegistryReadOnlyAccess。
單擊確認新增授權。
單擊關閉。
相關文檔
如果您想對許可權進行細粒度控制,請參見授予RAM使用者自訂策略。
如果您想瞭解更多鑒權規則,請參見RAM授權資訊。