策略

最近更新时间:2019-04-30 16:17:07

概述

策略是用于定义和描述一条或多条权限的语法规范。腾讯云的策略类型分为预设策略和自定义策略。CAM 从不同角度切入,为您提供了多种方法来创建和管理策略。若您需要向 CAM 用户或组添加权限,您可以直接关联预设策略,或创建自定义策略后将自定义策略关联到 CAM 用户或组。每个策略允许包含多个权限,同时您可以将多个策略附加到一个 CAM 用户或组。

预设策略

预设策略由腾讯云创建和管理,是被用户高频使用的一些常见权限集合,如资源全读写权限等。操作对象范围广,操作粒度粗。预设策略为系统预设,不可被用户编辑。

在控制台 策略管理 页面,您可以在搜索框内输入策略名、系统自带的策略描述或您已编辑的备注,快速定位相关策略。

自定义策略

由用户创建的策略,允许作细粒度的权限划分。例如,为某数据库管理员关联一条策略,使其有权管理云数据库实例,而无权管理云服务器实例。自定义策略根据创建方式的不同分为按策略生成器创建的策略、按业务权限创建的策略、按语法创建的策略和按标签授权的策略:

  • 按策略生成器创建的策略,通过从策略向导中选择服务和操作,并定义资源,自动生成策略语法,简单灵活,优先推荐使用;
  • 按业务权限创建的策略,由用户设置,权限粒度可由业务接入时控制,解决对权限划分有一定要求,但并不复杂的用户诉求;
  • 按语法创建的策略,由用户设置,权限粒度灵活,由用户把控,解决对权限精细划分有较高要求的用户诉求;
  • 按标签授权的策略,将具有一类标签属性的资源快速授权给用户或用户组。

创建自定义策略

按策略生成器创建

  1. 登录腾讯云控制台,进入 策略管理 页面,单击【新建自定义策略】>【按策略生成器创建】,进入创建页面。

  2. 选择服务和操作,填写信息,完成后单击【添加声明】>【下一步】。

    • 效果:必填项,选择"允许"。如选择"拒绝",用户或组不能获取授权。
    • 服务:必填项,选择需要添加的产品。
    • 操作:必填项,根据您的需求勾选产品权限。
    • 资源:必填项,您可以参考 资源描述方式说明 填写。
    • 条件:根据您的需求选择条件,输入 IP 地址。可以添加多条限制。例如,效果选择"允许",仅限使用该 IP 地址的用户或组获取授权。

说明:

  • 部分服务的操作无需关联对象,则不需要填写资源描述。
  • 一条策略中可以添加多条声明。
  1. 单击【创建策略】即可。其中策略名称和策略内容由控制台自动生成:
    • 策略名称默认为 "policygen" ,后缀数字根据创建日期生成。您可进行自定义。
    • 策略内容与第 2 步的服务和操作对应,用户可根据实际需求进行修改。

按业务权限创建

  1. 登录腾讯云控制台,进入 策略管理 页面,单击【新建自定义策略】>【按业务权限创建】,进入创建页面。

  2. 选择服务类型并为策略命名,单击【下一步】。

  3. 将需要开启的功能权限开关置为 开启状态,并单击【下一步】。

  4. 单击【关联对象】,选择要关联的对象,单击【确认】>【完成】。

按策略语法创建

  1. 登录腾讯云控制台,进入 策略管理 页面,单击【新建自定义策略】>【按策略语法创建】,进入创建页面。

  2. 选择模版类型,可输入关键字进行搜索(如模版类型为全部模版,关键字为 a ),选择 AdministratorAccess 模版,单击【下一步】。

  3. 编辑策略内容,单击【创建策略】即可。其中默认的策略名称和策略内容由控制台自动生成,策略名称默认为 "policygen" ,后缀数字根据创建日期生成。

按标签授权

  1. 登录腾讯云控制台,进入 策略管理 页面,单击【新建自定义策略】>【按标签授权】,进入创建页面。

  2. 选择各选项信息(如下图),单击【下一步】。

  3. 策略内容可保持为默认,也可根据实际需求编辑策略内容(详见 策略语法说明业务支持列表),然后单击【完成】即可。