访问控制

产品文档

访问控制

帮助中心 > 产品文档 > 访问控制 > 可视化创建策略

可视化创建策略

京东云提供了三种自定义策略的创建方式,分别为:

  • 可视化创建
  • Json 创建
  • 按标签创建

本页介绍可视化创建策略流程。

1. 添加策略基本信息

在策略列表页点击“创建策略”。

为便利用户使用,京东云预置了多个系统策略,绝大多数为各个产品线的管理员策略或只读策略。系统策略会显示在您的策略列表里,可以通过为子账号/角色直接附加系统策略来使用。

选择可视化策略生成器。

自定义策略名称与描述。

策略名称与描述需符合字符长度与格式规则。

2. 添加授权信息

指定授权服务类型

在资源类型列表里指定京东云服务,列表支持模糊搜索;例如,输入“云”后列表里匹配出所有中文名称里带“云”字的产品线,从中选择“云主机”。

指定效力类型(允许或拒绝)

指定效力类型(Effect),即当前策略是对指定的操作允许访问还是拒绝访问

指定操作接口

在操作权限区指定本条策略需要覆盖的接口。京东云将所有接口分为读取接口与写入接口,您可以通过接口类型进行快速定位或区分接口类型执行全选。 如需指定所选产品线的全部接口,点击“选择全部”即可。

指定授权资源明细

如需将操作权限控制到资源级别,如仅允许某子用户访问指定的几台云主机时,需要在策略里指定资源。如不需要指定资源,点击“选择全部”即可。 点击添加资源,在添加资源弹窗里指定资源所属地域、主账号accountId、资源唯一标识(实例id);存在多级资源的,需指定各级资源的唯一标识。

指定生效条件

京东云支持设置策略的生效条件 Condition,目前的 Condition 元素支持指定资源标签作为判断条件。

点击添加条件,在添加条件弹窗里指定资源标签键值对。IAM Condition 支持使用用户自定义的标签以及京东云系统标签(创建人标签)。您也可以在条件值里使用变量来概括策略,不必为每个 IAM 用户分别创建策略副本。

您可以重复以上步骤,添加多个服务的多个授权内容。

如果您授权的操作不需要关联授权,则此时点击【创建策略】即可完成策略创建。

3. 确定关联授权

在京东云上,要执行某些服务的操作,需要依赖其他协同服务操作共同完成。因此,除了指定的服务授权外,可能您还需要进行关联授权。

举个例子,当您需要授权子用户创建云主机时,不能仅仅授权 vm:createInstances 操作,仅有这一个接口的操作权限是无法完成云主机创建动作的。您可能还需要关联对云硬盘、主机镜像、私有网络的查询权限,才能在创建云主机时完成必要的设置。

当然,您不用过多考虑是否漏掉了某一个操作权限,系统会通过【关联授权】功能为您推荐可能需要关联授权的服务和操作信息,您只需要根据提示进行确认即可。如果您的业务不需要额外的授权,您可以忽略关联授权提示。

以下是当授权 vm:createInstances 后系统提示关联授权的示例:

更新时间:2021-07-23 11:36:30
文档反馈 docs feedback