全部產品
Search
文件中心

:Tair (Redis OSS-compatible)自訂權限原則參考

更新時間:Dec 05, 2024

如果系統權限原則不能滿足您的要求,您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控,是提升資源訪問安全的有效手段。本文介紹Tair (Redis OSS-compatible)使用自訂權限原則的情境和策略樣本。

什麼是自訂權限原則

在基於RAM的存取控制體系中,自訂權限原則是指在系統權限原則之外,您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。

  • 建立自訂權限原則後,需為RAM使用者、使用者組或RAM角色綁定權限原則,這些RAM身份才能獲得權限原則中指定的存取權限。

  • 已建立的權限原則支援刪除,但刪除前需確保該策略未被引用。如果該權限原則已被引用,您需要在該權限原則的引用記錄中移除授權。

  • 自訂權限原則支援版本控制,您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。

操作文檔

常見自訂權限原則情境及樣本

常見的自訂權限原則樣本如下,您只需將下述範例程式碼中的執行個體ID替換為實際的執行個體ID。

  • 管理單個執行個體的所有許可權

    以下策略表示:您具有管理指定執行個體的所有許可權。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "kvstore:*",
                "Resource": "acs:kvstore:*:*:*/<執行個體ID>",
                "Condition": {}
            },
            {
                "Action": "kvstore:Describe*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  • 管理多個執行個體的所有許可權

    以下策略表示:您具有管理多個指定執行個體的所有許可權。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "kvstore:*",
                "Resource": [
                    "acs:kvstore:*:*:*/<執行個體ID>",
                    "acs:kvstore:*:*:*/<執行個體ID>"
                ],
                "Condition": {}
            },
            {
                "Action": "kvstore:Describe*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  • 管理指定標籤(Tag)執行個體的所有許可權

    以下策略表示:您具有管理指定標籤(例如下方中的TagKey:TagValue標籤)執行個體的所有許可權,但不支援新增或刪除標籤。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kvstore:DescribeInstances",
                    "kvstore:ListTagResources",
                    "kvstore:DescribeParameterTemplates",
                    "kvstore:DescribeHistoryMonitorValues",
                    "sts:AssumeRole",
                    "hdm:*"
                ],
                "Resource": "*"
            },
            {
                "Effect": "Deny",
                "Action": [
                    "kvstore:TagResources",
                    "kvstore:UntagResources"
                ],
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": "kvstore:*",
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "acs:ResourceTag/TagKey": [
                            "TagValue"
                        ]
                    }
                }
            }
        ]
    }
  • 修改單個執行個體的白名單許可權

    以下策略表示:您具有修改指定執行個體IP白名單的許可權。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "kvstore:ModifySecurityIps",
                "Resource": "acs:kvstore:*:*:*/<執行個體ID>",
                "Condition": {}
            },
            {
                "Action": "kvstore:Describe*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  • 離線全量Key分析的許可權

    以下策略表示:您具有對指定執行個體進行離線全量Key分析的許可權。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "hdm:CreateCacheAnalysisTask",
                    "hdm:DescribeCacheAnalysisReportList",
                    "hdm:DescribeCacheAnalysisReport",
                    "hdm:CreateCacheAnalysisJob",
                    "hdm:DescribeCacheAnalysisJob",
                    "hdm:DescribeCacheAnalysisJobs",
                    "hdm:GetInstanceLatestBackup"
                ],
                "Resource": "acs:kvstore:*:*:instance/<執行個體ID>",
                "Condition": {}
            },
            {
                "Action": "ram:CreateServiceLinkedRole",
                "Resource": "*",
                "Effect": "Allow",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": "hdm.aliyuncs.com"
                    }
                }
            }
        ]
    }

授權資訊參考

使用自訂權限原則,您需要瞭解業務的許可權管控需求,並瞭解Tair (Redis OSS-compatible)的授權資訊。詳細內容請參見授權資訊