本教程示例详细演示了如何使用 RAM Policy 控制用户对 IVPD 服务的访问。
本教程示例详细演示了如何使用 RAM Policy 控制用户对 IVPD 服务的访问。
一、操作步骤
二、Policy策略
1. 全部权限
拥有IVPD的全部权限。
{
"Statement": [
{
"Effect": "Allow",
"Action": "ivpd:*",
"Resource": "acs:ivpd:*:*:*"
}
],
"Version": "1"
}2. 支持带IP/SSL限制的授权
{
"Statement": [
{
"Effect": "Allow",
"Action": "ivpd:*",
"Resource": "acs:ivpd:*:*:*",
"Condition": {
"IpAddress": {
"acs:SourceIp": "42.120.xx.xx/24"
},
"Bool": {
"acs:SecureTransport": "true"
}
}
}
],
"Version": "1"
}以上授权的含义是:当满足以下两个条件时可以访问所有资源
子用户当前的IP在42.120.xx.xx/24这个网段
子用户正在使用HTTPS访问阿里云控制台或OpenAPI
3. 时间限制
{
"Statement": [
{
"Effect": "Allow",
"Action": "ivpd:*",
"Resource": "acs:ivpd:*:*:*",
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2019-09-25T12:30:00+08:00"
}
}
}
],
"Version": "1"
}以上授权的含义是:在北京时间2019年9月25日下午12:30之前,拥有IVPD的所有权限。
4. MFA
{
"Statement": [
{
"Effect": "Allow",
"Action": "ivpd:*",
"Resource": "acs:ivpd:*:*:*",
"Condition": {
"Bool": {
"acs:MFAPresent": "true"
}
}
}
],
"Version": "1"
}如果一个子用户仅被授予如上授权策略,只有此子用户启用MFA并使用MFA登录时,才具有IVPD的权限;此用户的AK也没有权限,需要使用AK+正确的MFA六位Code调用STS服务获取一个临时AK(15分钟失效),此临时AK才具有响应的权限。
5. 控制台角色STS
STS Token是一种临时身份,用来解决跨账号及跨服务的资源访问的问题
STS Token由以下三部分组成
AccessKeyId
AccessKeySecret
SecurityToken
操作步骤:
1)在RAM控制台创建本账户的用户角色,给角色授权(该产品的管理权限或者AdministratorAccess);
2)创建一个子用户,给子用户授权AliyunSTSAssumeRoleAccess;
3)被创建出来的子用户登录到控制台,切换身份,输入1中创建的角色名和企业别名(如果没有别名,输入主账户Id)
4)切换到角色后,在浏览器里输入产品控制台的地址;
5) 在控制台使用这个产品
反馈
- 本页导读 (0)
文档反馈