You need to enable JavaScript to run this app.
导航
对象存储
  • 文档首页
    • /对象存储/用户指南/权限配置指南/IAM 策略管理/配置 IAM 策略
配置 IAM 策略
最近更新时间:2024.11.14 16:39:30首次发布时间:2022.03.17 10:33:29
我的收藏
有用
有用
无用
无用

本文介绍自定义 IAM 策略的操作步骤及参数说明。

背景信息

使用可视化编辑器配置 IAM 策略

  1. 登录 IAM 控制台

  2. 在左侧导航栏中,单击权限策略

  3. 在策略列表页面,单击新建自定义策略

  4. 新建自定义策略页面,设置策略基本信息。

    参数

    是否必选

    说明

    示例

    策略名称

    设置策略名称,命名规范如下:

    • 仅支持英文大小写、数字及 +=,.@-\_
    • 长度为 1~64 个字符。

    TOStest

    备注

    设置策略备注信息,命名规范如下:

    • 支持中英文、数字及特殊字符。
    • 长度为 0~128 个字符。

    test

  5. 可视化编辑器页签下,设置如下策略参数。

    参数

    是否必选

    说明

    效果

    可选允许拒绝,其中拒绝表示被授予的用户或用户组将被拒绝该策略下的相关操作。

    服务

    选择对象存储(tos)

    操作

    定义该条权限的操作范围,可选全部操作指定操作。
    选择指定操作后,控制台会展示可选的操作以及操作的含义,然后根据实际情况选择具体操作。

    资源

    定义该条权限的资源范围,可选全部资源指定资源,系统会根据您选择服务和操作匹配可配置的资源类型,如您选择指定资源,您还需要单击添加TRN,配置具体资源的 TRN。关于资源的详细介绍,请参见 IAM 策略支持资源

    条件

    定义该条权限的生效条件,单击添加条件,配置条件健、运算符和条件值,关于条件的详细介绍,请参见 IAM 策略支持条件

  6. 策略参数设置完成后,单击提交

使用 JSON 编辑器配置 IAM 策略

  1. 登录 IAM 控制台

  2. 在左侧导航栏中,单击权限策略

  3. 在策略列表页面,单击新建自定义策略

  4. 新建自定义策略页面,设置策略基本信息。

    参数

    是否必选

    说明

    示例

    策略名称

    设置策略名称,命名规范如下:

    • 仅支持英文大小写、数字及 +=,.@-\_
    • 长度为 1~64 个字符。

    TOStest

    备注

    设置策略备注信息,命名规范如下:

    • 支持中英文、数字及特殊字符。
    • 长度为 0~128 个字符。

    test

  5. 选择 JSON编辑器,设置如下策略参数。

    参数

    是否必选

    说明

    示例

    Statement

    策略的授权信息,包含 EffectActionResource。

    { "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "tos:List*"
            ],
            "Resource": [
                "trn:tos:::bucket"
      ]
        }
    ]
    }

    Effect

    指定策略是允许还是拒绝访问,取值范围为:

    • Allow:允许
    • Deny:拒绝
    "Effect": "Allow"

    Action

    指定策略允许或拒绝的操作列表,TOS 支持的操作列表请参见 IAM 策略支持动作

    • 以字符串形式表示,不区分大小写,格式为 "Action":["tos:Action名称"]
    • 支持通配符*,表示该资源能进行的所有操作。例如:"Action":["tos:List*"]
    "Action": ["tos:List*"]

    Resource

    设置该策略指定操作适用的资源列表,如果不填则表示所有资源均不匹配。

    • 以字符串形式表示,不区分大小写,格式为 "Resource": ["trn:tos:::{BucketName}/{ObjectName}"]
    • 如果您只需要对桶执行相应操作,则资源只设置桶名,例如 "Resource": ["trn:tos:::{BucketName}"]
    • 如果您只需要对桶中对象执行相应操作,则需要设置桶内资源,例如 "Resource": ["trn:tos:::{BucketName}/{ObjectName}"]
    • 支持通配符 *,设置在桶上表示所有桶,设置在对象上表示所有资源。
    "Resource": [
        "trn:tos:::bucket/*",
        "trn:tos:::bucket",
        "trn:tos:::bucket*/*"
      ]

    Condition

    设置该策略生效的条件,TOS 支持的条件,请参见 IAM 策略支持条件
    一个策略中可以有多条 Condition,一个Condition 中可以有多对条件键,每个条件键对应的条件值可以是多个(表达为数组形式)。

    "Condition": {
    "IpAddress": {
       "volc:SourceIp": [
            "203.0.113.0/24"
        ]
    }
}

  6. 策略参数设置完成后,单击提交

后续操作

自定义策略创建完成后,您可以通过以下方式授予账号或角色权限:

说明

使用 IAM 授予账号或角色权限时,预计需要等待 1 分钟,才能生效。

其他操作

  • 管理 IAM 策略:在自定义策略列表,单击目标策略操作栏对应的管理,即可查看策略的详细信息,修改策略名称和备注信息。
  • 编辑 IAM 策略:在自定义策略列表,单击目标策略操作栏对应的管理,单击语法页签,单击编辑策略,即可修改策略内容。
  • 删除 IAM 策略:在自定义策略列表,单击目标策略操作栏对应的删除,在弹出的对话框中单击删除,即可删除该策略。

    注意

    删除策略会导致该策略失效,请谨慎操作。