本文介紹如何通過自定義策略為RAM用戶授權。
前提條件
在創建自定義授權策略時,您需要了解授權策略語言的基本結構和語法。更多信息,請參見權限策略基本元素。
請確認RAM用戶沒有添加系統權限策略AliyunTracingAnalysisFull-Access和AliyunTracingAnalysisReadOnlyAccess。
重要可觀測鏈路 OpenTelemetry 版的系統權限策略和自定義RAM授權策略不支持同時使用。
背景信息
可觀測鏈路 OpenTelemetry 版提供粗粒度的系統授權策略,如果這種粗粒度授權策略不能滿足您的需要,那么您可以創建自定義授權策略。例如,您想控制RAM用戶對某個具體應用的操作權限,您必須使用自定義授權策略才能滿足這種細粒度要求。
步驟一:創建自定義權限策略
- 使用阿里云賬號登錄RAM控制臺。
- 在左側導航欄,選擇。
- 在權限策略頁面,單擊創建權限策略。
在創建權限策略頁面,單擊腳本編輯頁簽。在策略文檔中編寫您的授權策略內容。
授權策略內容中各元素說明,請參見權限策略元素說明。
示例:杭州地域所有應用的只讀權限。
{ "Version": "1", "Statement": [ { "Action": "xtrace:ReadXtraceApp", "Resource": "acs:xtrace:cn-hangzhou:*:xtrace/*", "Effect": "Allow" }, { "Action": "xtrace:Describe*", "Resource": "*", "Effect": "Allow" } ] }示例:杭州地域以demo開頭的應用的只讀權限。
{ "Version": "1", "Statement": [ { "Action": "xtrace:ReadXtraceApp", "Resource": "acs:xtrace:cn-hangzhou:*:xtrace/demo*", "Effect": "Allow" }, { "Action": "xtrace:Describe*", "Resource": "*", "Effect": "Allow" } ] }
編寫完成后,單擊繼續編輯基本信息。
- 輸入權限策略名稱和備注。
- 單擊確定。
步驟二:為RAM用戶添加權限策略
權限策略元素說明
效果(Effect)
授權效果包括兩種:允許(Allow)和拒絕(Deny)。
操作(Action)
Action | 權限說明 |
xtrace:Describe | 可觀測鏈路 OpenTelemetry 版只讀權限,粗粒度的讀權限,獲取該權限后才能進入可觀測鏈路 OpenTelemetry 版控制臺。 |
xtrace:ReadXtraceApp | 可觀測鏈路 OpenTelemetry 版只讀權限,用于查看應用列表、應用詳情、接口調用等信息,可以控制應用以及地域粒度的RAM權限。 |
xtrace:SaveXtraceAppConfig | 可觀測鏈路 OpenTelemetry 版應用配置的保存權限。 |
xtrace:DeleteXtraceApp | 可觀測鏈路 OpenTelemetry 版應用刪除的權限。 |
資源(Resource)
用于指定被授權的具體對象。
格式如下:
"Resource": [
"acs:xtrace:<regionid>:*:xtrace/<appname>"
]請將
<regionid>替換為指定地域ID。如果當前授權針對所有地域,可替換為*。請將
<appname>替換指定應用名稱。如果當前授權針對所有應用,可替換為*;如果當前授權針對的應用名稱擁有相同前綴,可替換為名稱前綴*,例如k8s*。