体验申请
说明:
操作场景
对于标签数量巨大的企业,当子用户在使用标签时,例如创建资源选择标签、编辑资源标签等场景,会一次性获取到全量标签,但日常高频使用的标签却是相对固定的范围,此时子用户需通过搜索找到自己所需的那些标签。
功能范围说明
标签限制一旦启用后,将针对所有子用户和所有产品生效,请您经过充分测试后再推广使用。
子用户 A 绑定了 CAM 策略且限定范围,则子用户 A 生效。但子用户 B 未绑定 CAM 策略,则子用户 B 不会生效。
子用户 A 生效,是指该子用户在调用标签相关读接口、控制台查看或编辑标签时,都仅可见限定标签,其他标签不可见。但子用户 A 查询资源相关接口、标签相关写接口不受影响,例如 DescribeResourceTags 中某个资源绑定了6个标签,该子用户仅可见2个时,仍返回该资源的6个标签。
一个子用户可绑定多个 CAM 策略,每个 CAM 策略中可添加多个键值,最终该子用户能够使用的是其被绑定的所有 CAM 策略中键值的合集,但当合集的键值数量超100个时,该子用户标签限制将失效,即获取该主账号下全量键值。
例如,子用户 A 绑定3个 CAM 策略,累计20个键值,则该子用户仅可使用这20个键值,但后续又被绑定 CAM 策略累计了101个键值,则该子用户可获取主账号下全量键值。
标签限制和 标签策略,是2种不同的约束标签使用方式,请您根据需要选择一种使用,不建议同时使用。
各类组合效果
前提条件
1. 给员工子用户在 CAM 授权策略中,采用了按标签授权方式,详情请参见 通过标签授权创建自定义策略。
2. 在 标签列表 中,标签数量较大。
3. 现有子用户 access1,预期只让子用户 access1使用这些
部门:产品中心 、部门:开发中心 、所属产品:产品_A ,其他键值不可用。操作步骤
步骤1:管理员确认标签范围
以
部门、所属产品2个标签键为例,管理员分别设置了3个值。给子用户 access1 分配2个标签键,预期仅可让该子用户使用
部门:产品中心 、部门:开发中心 、所属产品:产品_A ,其他键值不可用。
步骤2:子用户授予 CAM 策略权限
本文仅说明标签限制的用法,此处以下文的策略为例,授权给子用户 access1。
该策略表示该子用户仅可操作 VPC 资源,其条件是必须已绑定
部门:产品中心 、部门:开发中心 、所属产品:产品_A 标签的资源。
1. 登录 访问管理控制台 > 策略,单击新建自定策略 > 按标签授权。
2. 在标签授权策略页面,单击 JSON,输入以下信息:
{"statement": [{"action": ["vpc:*"],"condition": {"for_any_value:string_equal": {"qcs:resource_tag": ["部门&产品中心","部门&开发中心","所属产品&产品_A"]}},"effect": "allow","resource": "*"}],"version": "2.0"}
至此,子用户 access1 被授予 CAM 策略权限后,仍然是可使用全量键值。
步骤3:开启标签限制
步骤4:验证效果
1. 切换为子用户 access1 账号登录。
2. 前往标签控制台 > 标签列表,查看标签。至此,子用户 access1 能看到的只有 CAM 策略中约定的3个,不再是全量键值。
4. 前往 专线网关控制台,打开编辑标签对话框,在下拉列表中也只会出现已授权的标签键。
步骤4:关闭标签限制
常见问题
基于上述示例,以子用户access1 为例。
当 access1 以前负责的某些资源已经先绑定过标签,例如
k1:v1,但管理员给 access1 绑定的 CAM 策略并不包含k1:v1,那么当管理员后续开启标签限制,会出现这样的效果,对于存量标签,该子用户一旦编辑,这些键值会被清空。因为标签限制约束该子用户能够使用的标签范围,既然 CAM 策略不包含,则认为该子用户不可使用。当 access1 同时还具备了 AdministratorAccess 权限,也将获取全量标签。
