多用户访问控制

    管理IAM策略

    查看系统策略

    登录云控制台,鼠标移到右上角头像处,进入多用户访问控制>策略管理,默认展示系统策略列表,系统策略通常包含职能型策略如系统管理员,支持系统的所有策略,财务管理等;产品型策略,定义了分产品的通用策略合集,具体策略定义,请参考各产品线的权限说明文档。你可以点击查看按钮,查看系统策略的策略语法。

    管理自定义策略

    策略管理 > 自定义策略中,你可以为你的账户定义业务相关的自定义策略,以实现细粒度地权限管控。你也可以基于标签为相同类型的资源(加了相同标签的资源)快速构建一条自定义策略,常适用于解决大量不同产品或服务组合授权的问题。

    创建自定义策略

    目前IAM支持2种方式创建自定义策略:按策略生成器创建和按标签创建。按策略生成器创建的方式,通过选择服务、权限以及区域下实例,以生成策略;按标签创建,根据你为服务实例创建的标签筛选资源,生成策略。

    先决条件
    拥有百度智能云系统管理员权限。

    操作步骤:按策略生成器创建

    1. 登录云控制台,鼠标移到右上角头像处,进入多用户访问控制>策略管理;
    2. 点击创建策略,弹窗中选择按策略生成器创建
    3. 填写基本信息中的策略名称和描述;
    4. 填写权限配置: 点击添加权限按钮,为当前策略添加一条权限,在弹窗中填写:

      • 选择服务:即需要选择的产品名称。
      • 策略生成方式:根据所选服务类型,支持使用策略生成器或编辑策略文件的方式生成最终策略,置灰则为默认为策略生成器方式。策略生成器为可视化的策略生成工具,通过按步骤地配置操作和资源实例,来最终生成策略;编辑策略文件,支持用户按照一定的策略语法,编辑JSON格式的策略文档,最终生成策略,详细请参考策略语法. 2种方式生成的最终策略,都会以ACL的格式存储到系统中。
      • 权限效力:允许或拒绝,通常为选择允许,需要注意的是,拒绝权限效力强于允许,需要谨慎选择;
      • 权限选项:由所选服务类型定义的业务相关的权限,支持多选;
      • 选择资源:所选服务类型下的可选资源,可精细到资源实例。

        • 选择所有资源,代表所有百度智能云支持的地域下的任意资源,包含未来添加的资源,在策略ACL描述中为“*”;
        • 选择特定资源,即可通过筛选不同地域,选择特定的资源实例。
      • 限制条件:选择你需要为当前策略配置限制条件,配置完限制条件表示,只有符合该条件且满足权限策略的访问才会被允许。
    5. 点击完成,回到创建策略页面,你可以继续按照第4步的操作步骤,进一步添加权限,也可以点击完成保存自定义策略。

    操作步骤:按标签创建

    1. 登录云控制台,鼠标移到右上角头像处,进入多用户访问控制>策略管理;
    2. 点击创建策略,弹窗中选择按标签创建
    3. 填写基本信息中的策略名称和描述;
    4. 填写权限配置:

      • 选择标签:选择你需要的标签键值对,如果没有标签,可以选择点击还没有标签?点击创建标签链接跳转到标签管理;
      • 选择服务:选择已支持标签的服务类型,查看哪些产品线已支持基于标签的授权,具体可参考使用IAM的产品
      • 选择操作:已选服务的权限操作,统一为只读、运维和管理权限;
      • 资源范围:展示已选择服务的资源列表,如未命中任何实际资源,则代表全局所有资源,在未来的时间范围内,如果你将当前标签关联到实际的资源实例,该资源实例将受到当前自定义策略的控制。
    5. 点击完成,保存已配置策略。

    编辑自定义策略

    在一些某些场景下,已有的自定义策略无法满足你的需求时,你可以创建一条全新的自定义策略,也可以编辑已有的自定义策略。登录云控制台,鼠标移到右上角头像处,进入多用户访问控制>策略管理,定位到需要编辑自定义策略,点击编辑按钮,即进入策略的编辑页面,策略编辑操作可直接参考创建自定义策略

    删除自定义策略

    对于不再需要使用的自定义策略,你可以定位到需要被删除的自定义策略,点击删除按钮,并确认以完成策略删除操作。

    重要提示:
    删除线上策略将有可能导致你的IAM用户或服务失去相应地操作权限,影响你的业务使用,所以在策略删除前,请务必确认当前策略已从所有的身份上移除.

    上一篇
    策略类型
    下一篇
    授权