授予RAM用户自定义权限策略 - 容器镜像服务 ACR

如果您想对权限进行细粒度控制，您可以自定义策略，然后授予RAM用户自定义策略权限。本文以授予RAM用户容器镜像服务控制台企业版实例下的某个命名空间的读写权限为例，介绍如何自定义策略。

创建自定义策略

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。
在创建权限策略页面，单击脚本编辑页签。
将以下策略内容复制到文本框中，根据实际情况替换策略内容中的instanceid和namespace，然后单击继续编辑基本信息。
如果您想要授予RAM用户更多的权限，编辑策略内容时，Action和Resource的配置，请参见RAM授权信息。关于策略语法的详细介绍，请参见权限策略语法和结构。
说明
策略内容中的*，表示完全匹配，例如cr:ListInstance*表示授予cr:ListInstance开头的所有action，设置acs:cr:*:*:repository/$instanceid/$namespace/*为acs:cr:*:*:repository/cri-123456/ns/*，表示授予所有地域下ID为cri-123456的实例的ns命名空间下的所有权限。
```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cr:ListInstance*",
        "cr:GetInstance*",
        "cr:ListSignature*"
      ],
      "Resource": "*"
    },
    {
      "Action": [
        "cr:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:*:*:repository/$instanceid/$namespace/*",
        "acs:cr:*:*:repository/$instanceid/$namespace"
      ]
    },
    {
      "Action": [
        "cr:List*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:*:*:repository/$instanceid/*",
        "acs:cr:*:*:repository/$instanceid/*/*"
      ]
    }
  ],
  "Version": "1"
}
```
输入权限策略名称和备注。
单击确定。

授予RAM用户自定义策略

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户页面，单击目标RAM用户操作列的添加权限。
您也可以选中多个RAM用户，单击用户列表下方的添加权限，为RAM用户批量授权。
在新增授权面板，为RAM用户添加权限。
1. 选择资源范围。
  - 账号级别：权限在当前阿里云账号内生效。
  - 资源组级别：权限在指定的资源组内生效。
    重要
    指定资源组授权生效的前提是该云服务及资源类型已支持资源组，详情请参见支持资源组的云服务。资源组授权示例，请参见使用资源组限制RAM用户管理指定的ECS实例。
2. 选择授权主体。
  授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。
3. 选择权限策略。
  权限策略是一组访问权限的集合，分为以下两种。支持批量选中多条权限策略。
  - 系统策略：由阿里云创建，策略的版本更新由阿里云维护，用户只能使用不能修改。更多信息，请参见支持RAM的云服务。
    说明
    系统会自动标识出高风险系统策略（例如：AdministratorAccess、AliyunRAMFullAccess等），授权时，尽量避免授予不必要的高风险权限策略。
  - 自定义策略：由用户管理，策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息，请参见创建自定义权限策略。
4. 单击确认新增授权。
单击关闭。

说明

使用RAM用户登录容器镜像控制台。您可以在容器镜像控制台授予的命名空间下进行构建、推送、拉取镜像等操作。