如果系統權限原則不能滿足您的要求,您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控,是提升資源訪問安全的有效手段。本文介紹雲訊息佇列 RocketMQ 版使用自訂權限原則的情境和策略樣本。
什麼是自訂權限原則
在基於RAM的存取控制體系中,自訂權限原則是指在系統權限原則之外,您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。
建立自訂權限原則後,需為RAM使用者、使用者組或RAM角色綁定權限原則,這些RAM身份才能獲得權限原則中指定的存取權限。
已建立的權限原則支援刪除,但刪除前需確保該策略未被引用。如果該權限原則已被引用,您需要在該權限原則的引用記錄中移除授權。
自訂權限原則支援版本控制,您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。
操作文檔
自訂許可權授權樣本
重要
如需直接複製範例程式碼,請替換如下內容:
{regionId}:替換為執行個體所屬的地區ID。具體內容,請參見服務存取點。
{accountId}:替換為您的阿里雲帳號ID。
{InstanceId}:替換為雲訊息佇列 RocketMQ 版的執行個體ID。
{ConsumerGroupId}:替換為Group ID。
{TopicName}:替換為Topic名稱。
樣本一:授予RAM使用者對於某個執行個體的所有操作許可權
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rocketmq:ListInstances"
],
"Resource": [
"acs:rocketmq:{regionId}:{accountId}:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"rocketmq:*"
],
"Resource": [
"acs:rocketmq:{regionId}:{accountId}:instance/{InstanceId}*"
]
},
{
"Effect": "Allow",
"Action": [
"rocketmq:ListAnalyticsQuery"
],
"Resource": [
"acs:rocketmq:*:{#accountId}:*/*"
]
}
]
}樣本二:授予RAM使用者建立執行個體的許可權
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rocketmq:CreateInstance"
],
"Resource": [
"acs:rocketmq:{regionId}:{accountId}:instance/*"
]
}
]
} 樣本三:授予RAM使用者刪除某個指定Topic的許可權
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rocketmq:DeleteTopic"
],
"Resource": [
"acs:rocketmq:{regionId}:{accountId}:instance/{InstanceId}/topic/{TopicName}"
]
}
]
} 樣本四:授予RAM使用者所有執行個體診斷功能的操作許可權
{
"Version":"1",
"Statement":[
{
"Effect":"Allow",
"Action":[
"rocketmq:GetAnalyticsQuery",
"rocketmq:SubmitAnalyticsQuery",
"rocketmq:ListAnalyticsQuery"
],
"Resource":[
"acs:rocketmq:*:{#accountId}:*/*"
]
}
]
}授權資訊參考
使用自訂權限原則,您需要瞭解業務的許可權管控需求,並瞭解雲訊息佇列 RocketMQ 版的授權資訊。詳細內容請參見授權資訊。