配置IAM访问控制
更新时间:2024-07-31
容器镜像服务CCR企业版支持基于IAM策略授权,它主要用于帮助用户安全管理百度智能云账号下资源的访问权限。通过IAM您可以将权限策略授予子用户(组)从而控制哪些用户可以使用哪些资源。IAM详细说明请见多用户访问控制。
本文将介绍为用户授予不同IAM权限策略。
说明
- 企业版与个人版为两套独立的权限系统,若有需求您需要分别对用户单独进行授权。
- 企业版支持对不同层级的资源进行授权(目前支持两级,即您可以对实例和命名空间进行授权)。
前提条件
- 已使用百度智能云账户创建用户,具体操作可参见用户管理。
操作步骤
- 注意:非管理员权限的子用户需要同时授予CCR企业版和CCR个人版的只读或操作权限,才能有权限操作企业版实例。关于CCR个人版权限策略详见CCR个人版权限策略
授予系统策略
企业版CCR目前提供两种IAM系统策略:ECCRReadAccessPolicy(只读访问企业版CCR权限)和ECCRFullControlAccessPolicy(完全控制企业版CCR权限)。
-
ECCRReadAccessPolicy:用户关联该策略后,将具体资源账号下全部CCR企业版实例以及实例内全部资源的只读权限。
{ "version": "v2", "accessControlList": [ { "service": "bce:eccr", "region": "*", "resource": [ "*" ], "effect": "Allow", "permission": [ "READ" ] } ] }
-
ECCRFullControlAccessPolicy:用户关联该策略后,将具体资源账号下全部CCR企业版实例以及实例内资源的全部操作权限。
{ "version": "v2", "accessControlList": [ { "service": "bce:eccr", "region": "*", "resource": [ "*" ], "effect": "Allow", "permission": [ "FULL_CONTROL" ] } ] }
以下以授予用户ECCRReadAccessPolicy权限策略为例:
- 登录百度智能云官网,并进入管理控制台。
- 在控制台右上角个人信息中单击多用户访问控制,进入“多用户访问控制”控制台页面。
- 在左侧导航栏中选择“用户管理 > 子用户”进入“子用户管理”页面。
- 单击目标子用户左侧操作中的编辑权限。
- 在“编辑权限”弹出框勾选“ECCRReadAccessPolicy”策略,如下图所示:
- 单击确定按钮即可为该用户授予对应权限。
授予自定义策略
若您想设置更细粒度的权限,可以创建自定义策略实现细粒度的访问控制,以下将提供典型场景下的策略配置来方便您使用。关于策略语法的详细介绍,请参见策略语法说明。
-
授予用户只读指定实例的策略,如实例ID为ccr-test:
{ "version": "v2", "accessControlList": [ { "service": "bce:eccr", "region": "*", "resource": [ "instance/ccr-test*" ], "effect": "Allow", "permission": [ "READ" ] } ] }
-
授予用户完全控制(管理)指定实例的策略,如实例ID为ccr-test:
{ "version": "v2", "accessControlList": [ { "service": "bce:eccr", "region": "*", "resource": [ "instance/ccr-test*" ], "effect": "Allow", "permission": [ "FULL_CONTROL" ] } ] }
-
授予用户只读指定实例内的指定命名空间的策略,如实例ID为ccr-test,命名空间名称为ns-test:
{ "version": "v2", "accessControlList": [ { "service": "bce:eccr", "region": "*", "resource": [ "instance/ccr-test/project/ns-test" ], "effect": "Allow", "permission": [ "READ" ] } ] }
-
授予用户完全控制(管理)指定实例内的指定命名空间的策略,如实例ID为ccr-test,命名空间名称为ns-test:
{ "version": "v2", "accessControlList": [ { "service": "bce:eccr", "region": "*", "resource": [ "instance/ccr-test/project/ns-test" ], "effect": "Allow", "permission": [ "FULL_CONTROL" ] } ] }
以下以授予用户只读指定实例(ID:ccr-test)的自定义权限策略为例:
创建自定义策略
- 登录百度智能云官网,并进入管理控制台。
- 在控制台右上角个人信息中单击多用户访问控制,进入“多用户访问控制”控制台页面。
- 在左侧导航栏中选择“策略管理”进入“权限策略列表”页面。
- 单击创建策略,在“选择创建策略的方式”弹出框中选择按策略语法创建。
- 在“创建权限策略”页面完成相关配置,如下图所示:
配置项 | 必选/可选 | 配置说明 |
---|---|---|
策略名称 | 必选 | 输入自定义策略名称。 |
说明 | 可选 | 输入自定义策略说明信息。 |
策略模板 | 可选 | 您可以选择已有策略模板,基于模板内容创建新的策略。 |
策略内容 | 必选 | 根据策略语法说明输入您需要策略内容,这里您可以直接复制上面典型场景下授予用于只读指定实例的策略。 |
- 单击完成即可完成创建自定义策略,您可以在权限策略列表查看创建的权限并给用户授权。
授予用户自定义策略
- 在左侧导航栏中选择“用户管理 > 子用户”进入“子用户管理”页面。
- 单击目标子用户左侧操作中的编辑权限。
- 在“编辑权限”弹出框勾选您创建的自定义策略。
- 单击确定按钮即可为该用户授予只读指定实例的自定义权限。