配置IAM标签权限策略
所有文档
menu

容器镜像服务 CCR

配置IAM标签权限策略

产品详情

CCR企业版绑定云资源标签后,您可以使用标签为实例进行分配并控制访问权限。本文将介绍如何通过标签控制IAM子用户的权限,使得不同的子用户拥有不同CCR实例的访问权限。

背景信息

标签可用于标识云资源,实现资源的分类管理;多用户访问IAM可基于权限策略,管理用户身份,控制云资源的访问和操作权限。标签和IAM结合,将标签作为权限策略的匹配条件,可以实现云资源精细化权限管理。

操作步骤

本步骤将使用百度智能云主账号新建一个自定义权限策略UseTagAccessPolicy(规定了IAM子用户只能访问指定标签 test:ccr 的CCR实例),并将自定义权限策略UseTagAccessPolicy授予IAM子用户。

  1. 进入多用户访问控制控制台。
  2. 单击左侧导航栏中策略管理进入“权限策略列表”页面。
  3. 单击创建策略,在系统弹框中的选择按标签创建进入按标签创建权限策略页面。

    image.png

  4. 在标签创建权限策略页面完成相关配置:

    image.png

    配置项 必选/可选 配置说明
    策略名称 必选 自定义策略名称,这里输入UseTagAccessPolicy。
    选择标签 必选 选择目标资源所绑定的标签,这里选择 test:cce
    选择服务 必选 选择目标资源对应的云服务,这里选择“容器镜像服务CCR”,系统将自动筛选出该标签所关联的全部CCR实例 。
    选择操作 必选 选择子用户可操作目标资源的权限,这里选择“只读权限”,支持多选“运维权限”及“管理权限” 。
    资源范围 必选 表示该策略所生效的CCR实例,系统自动匹配已选标签所关联的全地域下CCR实例。

    说明

    • 只读权限:拥有已选择标签关联全部实例的只读权限
    • 运维权限:拥有已选择标签关联全部实例的全部读写权限,但是不包括创建实例、升级实例、续费
    • 管理权限:拥有已选择标签关联全部实例的全部读写权限
  5. 单击确认按钮完成创建,您可以在“权限策略列表”页面查看到创建的策略。
  6. 将自定义权限策略授权给目标IAM子用户,具体操作,请参见子用户授权
上一篇
配置IAM访问控制
下一篇
配置自定义访问域名