Создать пользовательскую политику
В дополнение к системным политикам можно создать собственные и применить их к группам пользователей для более гибкого контроля доступа к сервисам. Например, пользовательская политика может разрешать создание VPC, а также создание и удаление групп и правил безопасности в выделенном облаке.
Создать пользовательскую политику можно в визуальном редакторе или с помощью JSON.
В визуальном редакторе
-
Войдите в консоль управления Advanced как администратор безопасности.
-
В списке сервисов выберите Identity and Access Management.
-
В панели слева выберите Permissions → Policies/Roles.
-
Нажмите Create Custom Policy.
-
В поле Policy Name введите название политики.
-
В поле Policy View выберите Visual editor.
-
В поле Policy Content настройте политику:
-
Выберите действие политики: разрешающее (Allow) или запрещающее (Deny).
-
Выберите сервис.
В каждый блок разрешений можно добавить только один сервис. Чтобы добавить разрешения для нескольких сервисов, нажмите Add Permissions или переключитесь на режим JSON.
-
Выберите действия.
-
Выберите все ресурсы (All) или перечислите конкретные (Specific), указав их пути. Для этого нажмите Add Resource Path и введите путь ресурса, например OBS:*:*:bucket:TestBucket для бакета с названием «TestBucket».
-
(Опционально) Добавьте условия запроса с помощью условных ключей, операторов и значений:
Параметр
Описание
Пример
Condition Key
Ключ в условном выражении:
-
Глобальный ключ. Начинается с последовательности g: и используется для операций всех сервисов.
-
Ключ на уровне сервиса. Начинается с аббревиатуры сервиса и двоеточия, например obs:, и используется для операций в соответствующих сервисах.
g:DomainName
obs:SourceIp
Operator
Оператор используется вместе с ключом и значением для формирования законченного условного выражения.
StringStartWithAnyOfIfExists
IpAddress
Value
Значение используется вместе с ключом и оператором для формирования законченного условного выражения.
example
203.0.113.0.100
-
-
-
(Опционально) Чтобы изменить политику с помощью JSON, в поле Policy View переключитесь в режим JSON.
-
(Опционально) В поле Description задайте описание политики.
-
Нажмите OK.
-
Пользователь наследует политику группы, в которую входит.
С помощью JSON
-
Войдите в консоль управления Advanced как администратор безопасности.
-
В списке сервисов выберите Identity and Access Management.
-
В панели слева выберите Permissions → Policies/Roles.
-
Нажмите Create Custom Policy.
-
В поле Policy Name введите название политики.
-
В поле Policy View выберите JSON.
-
(Опционально) Нажмите Select Existing Policy и выберите политику, которую хотите использовать как шаблон, например «VPC Admin», и нажмите OK.
-
Задайте свое выражение или измените шаблон:
-
Effect — выберите действие политики: разрешающее (Allow) или запрещающее (Deny).
-
Action — введите действия, доступные в API сервиса, например, vpc:vpcs:create.
-
-
(Опционально) Задайте описание для политики.
-
Нажмите OK.
Если появится сообщение об ошибке, проверьте синтаксис и отредактируйте выражение политики.
-
Пользователь наследует политику группы, в которую входит.
- В визуальном редакторе
- С помощью JSON