如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍全球加速使用自定义权限策略的场景和策略示例。
什么是自定义权限策略
在基于RAM的访问控制体系中,自定义权限策略是指在系统权限策略之外,您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。
创建自定义权限策略后,需为RAM用户、用户组或RAM角色绑定权限策略,这些RAM身份才能获得权限策略中指定的访问权限。
已创建的权限策略支持删除,但删除前需确保该策略未被引用。如果该权限策略已被引用,您需要在该权限策略的引用记录中移除授权。
自定义权限策略支持版本控制,您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。
操作文档
创建自定义权限策略
修改自定义权限策略内容和备注
删除自定义权限策略
管理权限策略引用记录
管理自定义权限策略版本
常见自定义权限策略场景及示例
您可以通过Condition控制RAM用户访问指定类型的全球加速资源以及为RAM用户授予指定的操作权限。
示例1:仅允许添加中国内地的加速区域和源站地域
{ "Version":"1", "Statement":[ { "Action":[ "ga:CreateIpSets", "ga:CreateEndpointGroup", "ga:CreateEndpointGroups" ], "Resource":"*", "Effect":"Allow", "Condition":{ "StringEquals":{ "ga:AcceleratorMainland":[ "ChinaMainland" ] } } } ] }示例2:仅允许创建基础带宽包
{ "Version":"1", "Statement":[ { "Action":[ "ga:CreateBandwidthPackage" ], "Resource":"*", "Effect":"Allow", "Condition":{ "StringEquals":{ "ga:BandwidthPackageType":[ "Basic" ] } } } ] }示例3:仅允许HTTPS监听添加1.2版本以上的TLS安全策略
{ "Version":"1", "Statement":[ { "Action":[ "ga:CreateListener" ], "Resource":"*", "Effect":"Allow", "Condition":{ "StringEquals":{ "ga:TLSVersion":[ "tls_cipher_policy_1_2", "tls_cipher_policy_1_2_strict", "tls_cipher_policy_1_2_strict_with_1_3" ] } } } ] }
授权信息参考
使用自定义权限策略,您需要了解业务的权限管控需求,并了解全球加速的授权信息。详细内容请参见授权信息。