概述
创建自定义策略
CAM 支持如下三种方式创建自定义策略,请参考对应的帮助文档完成自定义策略的创建。
APM 资源
qcs:project_id:service_type:region:account:resource
service_type 参数
在 APM 场景中,service_type 参数固定填写为
apm。resource 参数
APM 支持业务系统和应用两种资源,resource 参数分别使用
apm-instance/和 apm-service/前缀,并附加上对应的业务系统 ID 和应用 ID。例如,针对 ID 为 apm-btzsrI123的业务系统进行精细化授权,resource 参数需要定义为 apm-instance/apm-btzsrI123,此时完整的六段式为如下所示:qcs::apm:ap-guangzhou:uin/1250000000:apm-instance/apm-btzsrI123
说明:
六段式描述方式仅适用于授权粒度为
资源级的接口,对于授权粒度为接口级的接口,资源(resource)需填 *。基于业务系统管理 APM 访问权限
所有授权粒度为
资源级的 APM 接口,都支持基于业务系统管理访问权限。在大多数场景下,基于业务系统管理 APM 访问权限,就可以实现精细化权限管理,详情的操作步骤,请参考 快速授予业务系统级别的访问权限。基于应用管理 APM 访问权限
在 APM 的实体模型中,单个业务系统中包含多个应用,因此应用是从属于业务系统的二维资源。在授予一个子用户业务系统级别的访问权限后,如果要限制其只能访问特定的应用,请确保以下接口的可操作资源范围在应用级别。
DescribeApmService(获取apm应用信息)
DescribeApmServiceBrief(获取应用名列表)
DescribeApmServiceMetric(获取 APM 应用指标)
ModifyApmApplicationConfig(修改应用配置接口)
说明:
基于应用管理 APM 访问权限,需要熟练使用 CAM 策略语法,且配置复杂度非常高,请谨慎使用这种方式。在大多数场景下,基于业务系统管理 APM 访问权限,已经可以满足精细化权限管理的需求。
