如果系統權限原則不能滿足您的要求,您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控,是提升資源訪問安全的有效手段。本文介紹ApsaraDB for Redis使用自訂權限原則的情境和策略樣本。
什麼是自訂權限原則
在基於RAM的存取控制體系中,自訂權限原則是指在系統權限原則之外,您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。
建立自訂權限原則後,需為RAM使用者、使用者組或RAM角色綁定權限原則,這些RAM身份才能獲得權限原則中指定的存取權限。
已建立的權限原則支援刪除,但刪除前需確保該策略未被引用。如果該權限原則已被引用,您需要在該權限原則的引用記錄中移除授權。
自訂權限原則支援版本控制,您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。
操作文檔
常見自訂權限原則情境及樣本
常見的自訂權限原則樣本如下,您只需將下述範例程式碼中的Redis執行個體ID替換為實際的Redis執行個體ID。
管理單個執行個體的所有許可權
以下策略表示:您具有管理指定Redis執行個體的所有許可權。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:*", "Resource": "acs:kvstore:*:*:*/<Redis執行個體ID>", "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }管理多個執行個體的所有許可權
以下策略表示:您具有管理多個指定Redis執行個體的所有許可權。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:*", "Resource": [ "acs:kvstore:*:*:*/<Redis執行個體ID>", "acs:kvstore:*:*:*/<Redis執行個體ID>" ], "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }修改單個執行個體的白名單許可權
以下策略表示:您具有修改指定Redis執行個體IP白名單的許可權。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "kvstore:ModifySecurityIps", "Resource": "acs:kvstore:*:*:*/<Redis執行個體ID>", "Condition": {} }, { "Action": "kvstore:Describe*", "Resource": "*", "Effect": "Allow" } ] }離線全量Key分析的許可權
以下策略表示:您具有對指定Redis執行個體進行離線全量Key分析的許可權。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "hdm:CreateCacheAnalysisTask", "hdm:DescribeCacheAnalysisReportList", "hdm:DescribeCacheAnalysisReport", "hdm:CreateCacheAnalysisJob", "hdm:DescribeCacheAnalysisJob", "hdm:DescribeCacheAnalysisJobs", "hdm:GetInstanceLatestBackup" ], "Resource": "acs:kvstore:*:*:instance/<Redis執行個體ID>", "Condition": {} }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "hdm.aliyuncs.com" } } } ] }
授權資訊參考
使用自訂權限原則,您需要瞭解業務的許可權管控需求,並瞭解ApsaraDB for Redis的授權資訊。詳細內容請參見授權資訊。