如果系統權限原則不能滿足您的要求,您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控,是提升資源訪問安全的有效手段。本文介紹號碼認證服務使用自訂權限原則的情境和策略樣本。
什麼是自訂權限原則
在基於RAM的存取控制體系中,自訂權限原則是指在系統權限原則之外,您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。
建立自訂權限原則後,需為RAM使用者、使用者組或RAM角色綁定權限原則,這些RAM身份才能獲得權限原則中指定的存取權限。
已建立的權限原則支援刪除,但刪除前需確保該策略未被引用。如果該權限原則已被引用,您需要在該權限原則的引用記錄中移除授權。
自訂權限原則支援版本控制,您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。
操作文檔
常見自訂權限原則情境及樣本
樣本1:僅允許調用某一個或多個API。
調用一個API時,指令碼配置如下所示:
{ "Version": "1", "Statement": [{ "Action": [ "dypns:StartVerification" ], "Resource": "*", "Effect": "Allow" }] }調用多個API時,指令碼配置如下所示:
{ "Version": "1", "Statement": [{ "Action": [ "dypns:StartVerification", "dypns:SearchVerification" ], "Resource": "*", "Effect": "Allow" }] }API名稱支援星號(*)萬用字元。
{ "Version": "1", "Statement": [{ "Action": [ "dypns:Check*" ], "Resource": "*", "Effect": "Allow" }] }
樣本2:僅允許指定的IP地址或IP位址區段的使用者調用號碼認證中API。
說明acs:SourceIp的取值如果是單個IP地址,需要寫明具體的IP地址,不能使用該IP地址的IP位址區段形式xx.xx.xx.xx/32。例如:10.0.0.1不能寫成10.0.0.1/32。42.XXX.XX.XX為擬允許調用的IP地址,/24為該IP位址區段的掩碼。您可以根據實際需要設定可允許調用的IP地址或IP位址區段。
DateLessThan欄位為自動到期時間。如果目前時間晚於該時間,則上述IP地址/位址區段的限制自動失效。反之,則該IP地址/位址區段策略有效。
指令碼配置如下所示:
{ "Version": "1", "Statement": [{ "Action": "dypns:*", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": "42.XXX.XX.XX/24" }, "DateLessThan": { "acs:CurrentTime": "2016-12-16T15:00:00+08:00" } }, "Effect": "Allow" }] }可以去掉DateLessThan欄位,則該IP地址或IP位址區段的策略將一直有效。配置如下:
{ "Version": "1", "Statement": [{ "Action": "dypns:*", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": "42.XXX.XX.XX/24" } }, "Effect": "Allow" }] }樣本3:將不同的策略組合使用。例如,只允許192.168.1.100的IP訪問,且只能訪問名為StartVerification的API方法。配置如下:
{ "Version": "1", "Statement": [{ "Action": "dypns:StartVerification", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": "192.168.1.100" } }, "Effect": "Allow" }] }
授權資訊參考
使用自訂權限原則,您需要瞭解業務的許可權管控需求,並瞭解號碼認證的授權資訊。詳細內容請參見授權資訊。