如果系统预置的ServiceStage权限,不满足您的授权要求,可以创建自定义策略。
目前支持以下两种方式创建自定义策略:
- 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
- JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见:“帮助中心 > 统一身份认证服务 > 用户指南 > 用户指南 > 权限管理 > 自定义策略 > 创建自定义策略”。本章为您介绍常用的ServiceStage自定义策略样例。
自定义策略样例
如下以定制一个IAM用户禁止创建及删除微服务引擎的策略为例。
{
"Version": "1.1",
"Statement": [
{
"Action": [
"cse:*:*"
],
"Effect": "Allow"
},
{
"Action": [
"cse:engine:create",
"cse:engine:delete"
],
"Effect": "Deny"
}
]
}
拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。
权限授予成功后,用户可以通过控制台以及REST API等多种方式验证。
此处以上述自定义策略为例,介绍用户如何通过登录ServiceStage控制台验证自定义禁止创建微服务引擎的权限:
- 使用新创建的用户登录云服务,登录方法选择为“IAM用户”。
租户名为该IAM用户所属云服务帐号的名称。
IAM用户名和IAM用户密码为以租户名在IAM创建用户时输入的用户名和密码。
- 在“微服务引擎 CSE”页面,创建微服务引擎,返回403错误,表示权限配置正确并已生效。
