九游平台/ 统一身份认证服务 iam/ 用户指南/ / 自定义策略/ 创建自定义策略
更新时间:2024-12-12 gmt 08:00
查看pdf

创建自定义策略-九游平台

如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。

目前iam支持以下两种方式创建自定义策略:

  • 可视化视图:通过可视化视图创建自定义策略,无需了解json语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
  • json视图:通过json视图创建自定义策略,可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写json格式的策略内容。

本节为您介绍在“权限管理>权限”页面创建自定义策略。您还可以在授权过程中创建自定义策略,如图1所示,管理员无需取消正在进行的授权操作,创建自定义策略完成后可继续完成授权。

图1 授权过程中创建策略

可视化视图配置自定义策略

  1. 登录。
  2. 在统一身份认证服务,左侧导航窗格中,选择“权限管理>权限”页签,单击右上方的“创建自定义策略”
    图2 创建自定义策略
  3. 输入“策略名称”
    图3 输入策略名称
  4. “策略配置方式”选择“可视化视图”
  5. “策略内容”下配置策略。
    1. 选择“允许”“拒绝”
    2. 选择“云服务”
      • 此处只能选择一个云服务,如需配置多个云服务的自定义策略,请在完成此条配置后,单击“添加权限”,创建多个服务的授权语句;或使用json视图配置自定义策略
      • 暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略,请创建两条自定义策略,便于授权时设置最小授权范围。
    3. 选择“操作”,根据需求勾选产品权限。
    4. (可选)选择资源类型,如选择“特定资源”可以单击“通过资源路径指定”来指定需要授权的资源。
      支持为特定资源授权的云服务请参考:。
      表1 资源类型

      类型

      说明

      特定资源

      授予iam用户特定资源的相应权限。如授予iam用户以testbucket命名开头的桶相应权限,需将bucket设置为通过资源路径指定,添加资源路径:obs:*:*:bucket:testbucket*。

      说明:
      • 指定桶资源:

      【格式】obs:*:*:bucket:桶名称

      对于桶资源,iam自动生成资源路径前缀obs:*:*:bucket:。通过桶名称指定具体的资源路径,支持通配符*。例如:obs:*:*:bucket:*表示任意obs桶。

      • 指定对象资源:

      【格式】obs:*:*:object:桶名称/对象名称

      对于对象资源,iam自动生成资源路径前缀“obs:*:*:object:”。通过桶名称/对象名称指定具体的资源路径,支持通配符*。例如:obs:*:*:object:my-bucket/my-object/*表示my-bucket桶下my-object目录下的任意对象。

      所有资源

      授予iam用户所有资源的相应权限。
    5. (可选)添加条件,单击“添加条件”,选择“条件键”,选择“运算符”,根据运算符类型填写相应的值。
      表2 条件参数

      参数名称

      参数说明

      条件键

      条件键表示策略语句的condition元素中的键值。分为全局条件键和服务级条件键。全局级条件键(前缀为g:)适用于所有操作,详情请参见:全局级请求条件;服务级条件键(前缀为服务缩写,如obs:)仅适用于对应服务的操作,详情请参见对应云服务的用户指南,如。条件键不区分大小写。

      运算符

      与条件键、条件值一起使用,构成完整的条件判断语句。

      与条件键、运算符一起使用,当运算符需要某个关键字时,需要输入关键字的值,构成完整的条件判断语句。
      图4 添加请求条件
      表3 全局级请求条件

      全局条件键

      条件类型

      说明

      g:currenttime

      时间

      接收到鉴权请求的时间。以 iso 8601 格式表示,例如:2012-11-11t23:59:59z。

      g:domainname

      字符串

      账号名称。

      g:mfapresent

      布尔值

      是否使用mfa多因素认证方式获取token。

      g:mfaage

      数值

      通过mfa多因素认证方式获取的token的生效时长。该条件需要和g:mfapresent一起使用。

      g:projectname

      字符串

      项目名称。

      g:userid

      字符串

      iam用户id。

      g:username

      字符串

      iam用户名。
  6. (可选)在“策略配置方式”选择json视图,将可视化视图配置的策略内容转换为json语句,您可以在json视图中对策略内容进行修改。

    如果您修改后的json语句有语法错误,将无法创建策略,可以自行检查修改内容或单击界面弹窗中的“重置”,将json文件恢复到未修改状态。

  7. (可选)如需创建多条自定义策略,请单击“添加权限”;也可在已创建的策略最右端单击“ ”,复制此权限。
  8. 输入“策略描述”(可选)。
  9. 单击“确定”,自定义策略创建完成。
  10. 将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。

    给用户组授予自定义策略与系统策略操作一致,详情请参考:创建用户组并授权

json视图配置自定义策略

  1. 登录。
  2. 在统一身份认证服务,左侧导航窗格中,选择“权限管理>权限”页签,单击右上方的“创建自定义策略”
    图5 创建自定义策略
  3. 输入“策略名称”
    图6 输入策略名称
  4. “策略配置方式”选择“json视图”
  5. (可选)在“策略内容”区域,单击“从已有策略复制”,例如选择“evs fullaccess”作为模板。

    此处可以同时选择多个服务的策略,这些策略的作用范围必须一致,即都是全局级服务或者项目级服务。如果需要同时设置全局服务和项目级服务的自定义策略,请创建两条自定义策略,便于授权时设置最小授权范围。

  6. 单击“确定”
  7. 修改模板中策略授权语句。
    • 作用(effect):允许(allow)和拒绝(deny)。
    • 权限集(action):写入各服务api授权项列表(如图7所示)中“授权项”中的内容,例如:"evs:volumes:create",来实现细粒度授权。
      图7 授权项示例
      • 自定义策略版本号(version)固定为1.1,不可修改。
      • 各九游平台的服务支持的api授权列表,详情请参见:系统权限
  8. (可选)输入“策略描述”
  9. 单击“确定”后,系统会自动校验语法,如跳转到策略列表,则自定义策略创建成功;如提示“策略内容错误”,请按照语法规范进行修改。
  10. 将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。

    给用户组授予自定义策略与系统策略操作一致,详情请参考:创建用户组并授权

父主题: 自定义策略

相关文档

网站地图