创建自定义权限策略
进入用户控制台,选择管理工具 > 访问控制 > 权限策略,您可以查看“预设策略”和“自定义策略”。其中,预设策略是平台默认提供的粗粒度的访问控制策略,比如当前用户所有云主机的只读权限或所有权限。如果您有更细粒度的授权需求,那么您可以通过创建自定义策略来进行访问控制。
点击新建自定义策略按钮,打开创建策略页面,您可以通过选择服务、功能、资源来便捷生成策略。也可以点击直接输入策略语言切换成自定义策略语言模式,通过编写策略语言来细粒度控制子用户权限。
编写策略语言时您可以点击“样例”来生成策略的基本格式内容,在此基础上进行编辑。编辑策略前,您需要先了解权限策略语言的基本结构和语法,见附录-权限策略语言
以下为一个示例权限策略:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "cec:Describe*",
"Resource": "ccs:cec:cn-hangzhou:*:*"
},
{
"Effect": "Allow",
"Action": [
"cos:ListObjects",
"cos:GetObject"
],
"Resource": [
"ccs:cos:*:*:mybucket",
"ccs:cos:*:*:mybucket/*"
]
}
]
}
上述策略表示:拥有对杭州数据中心的所有云主机资源的查看权限;拥有对任意数据中心的mybucket桶及桶下的资源有只读权限。
创建完自定义策略之后,可以进入下一步给子用户授权