配置IAM标签权限策略
更新时间:2024-09-04
CCR企业版绑定云资源标签后,您可以使用标签为实例进行分配并控制访问权限。本文将介绍如何通过标签控制IAM子用户的权限,使得不同的子用户拥有不同CCR实例的访问权限。
背景信息
标签可用于标识云资源,实现资源的分类管理;多用户访问IAM可基于权限策略,管理用户身份,控制云资源的访问和操作权限。标签和IAM结合,将标签作为权限策略的匹配条件,可以实现云资源精细化权限管理。
操作步骤
本步骤将使用百度智能云主账号新建一个自定义权限策略UseTagAccessPolicy(规定了IAM子用户只能访问指定标签 test:ccr 的CCR实例),并将自定义权限策略UseTagAccessPolicy授予IAM子用户。
- 进入多用户访问控制控制台。
- 单击左侧导航栏中策略管理进入“权限策略列表”页面。
-
单击创建策略,在系统弹框中的选择按标签创建进入按标签创建权限策略页面。
-
在标签创建权限策略页面完成相关配置:
配置项 必选/可选 配置说明 策略名称 必选 自定义策略名称,这里输入UseTagAccessPolicy。 选择标签 必选 选择目标资源所绑定的标签,这里选择 test:cce。选择服务 必选 选择目标资源对应的云服务,这里选择“容器镜像服务CCR”,系统将自动筛选出该标签所关联的全部CCR实例 。 选择操作 必选 选择子用户可操作目标资源的权限,这里选择“只读权限”,支持多选“运维权限”及“管理权限” 。 资源范围 必选 表示该策略所生效的CCR实例,系统自动匹配已选标签所关联的全地域下CCR实例。 说明
- 只读权限:拥有已选择标签关联全部实例的只读权限
- 运维权限:拥有已选择标签关联全部实例的全部读写权限,但是不包括创建实例、升级实例、续费
- 管理权限:拥有已选择标签关联全部实例的全部读写权限
- 单击确认按钮完成创建,您可以在“权限策略列表”页面查看到创建的策略。
- 将自定义权限策略授权给目标IAM子用户,具体操作,请参见子用户授权。
