You need to enable JavaScript to run this app.
导航
多云CDN
  • 文档首页
    • /多云CDN/最佳实践/云账号最小权限配置最佳实践
云账号最小权限配置最佳实践
最近更新时间:2025.09.18 19:30:19首次发布时间:2025.09.18 19:30:19
复制全文
我的收藏
有用
有用
无用
无用

本文以阿里云为例,介绍如何遵循最小权限原则,为多云CDN配置您的云服务商账号访问权限。

概述

在将您的云服务商账号添加到多云CDN时,授予恰当的访问权限至关重要。遵循最小权限原则,即仅授予执行特定任务所必需的最小权限集,是保障您云上资源安全的核心策略。
本实践指南以向多云CDN添加您的阿里云账号场景为示例,引导您完成以下两个核心步骤:

  1. 从只读权限开始:通过为阿里云子账号(RAM 用户)配置一个初始的只读权限(自定义策略),完成账号添加。
  2. 按需精准授权:在多云CDN执行具体操作时,根据平台返回的权限不足错误信息,精确、逐步地为子账号授予完成任务所需的接口权限。

步骤一:创建子账号并授予最小读取权限

在此步骤中,您将在阿里云访问控制(RAM)中创建一个子账号,从一个安全的只读权限配置开始,然后利用多云CDN的预检查功能生成一个精确的最小权限策略。

1. 创建具有只读权限的 RAM 用户

  1. 登录阿里云 访问控制 (RAM) 控制台。
  2. 创建一个新的 RAM 用户。
    在创建过程中,请确保为该用户启用 API 访问(例如,勾选“使用永久 AccessKey 访问”),并在创建完成后妥善保存 AccessKey IDAccessKey Secret
    Image
  3. 为刚创建的 RAM 用户授予权限。
    在授权页面,搜索并为其绑定 AliyunCDNReadOnlyAccess 系统策略。此策略将为账号提供所有与 CDN 相关的只读访问权限。
    Image

2. 生成并应用自定义的最小权限策略

  1. 登录多云CDN控制台,进入添加云服务商账号的流程。
  2. 添加账号 页面,输入您在上一步中保存的 AccessKey IDAccessKey Secret
  3. 点击 校验凭证权限
    由于账号当前权限不足,检查将会失败,但系统会为您生成一个为多云CDN定制的最小权限策略。请复制此策略的完整 JSON 内容。
    Image
  4. 返回阿里云 访问控制 (RAM) 控制台,执行以下操作:
    1. 创建一个新的自定义策略。
      建议命名为 mcdn_required 或其他便于识别的名称。
    2. 在策略编辑器中,选择 脚本编辑 模式,然后粘贴您从多云CDN复制的策略内容。
      Image
    3. 将这个新建的自定义策略 (mcdn_required) 授予您的 RAM 用户,同时移除之前授予的 AliyunCDNReadOnlyAccess 系统策略。
      Image

3. 完成账号添加

  1. 再次回到多云CDN控制台的 添加账号 页面。
  2. 重新点击 校验凭证权限
    此时,权限检查应显示通过。
  3. 继续完成后续的账号添加步骤。
    Image

步骤二:按需为子账号提升权限

完成初始设置后,您的 RAM 用户已拥有多云CDN所需基础权限。然而,当您在多云CDN上执行某些需要更高权限的操作时(例如,查看域名详细配置、刷新缓存等),系统可能会提示权限不足。
此时,您可以根据报错信息,通过编辑您之前创建的自定义策略 (mcdn_required),逐步为 RAM 用户精准地补充完成该操作所需的 API 接口权限。

权限提升的常见场景

需要按需提升权限的典型操作包括:

  • 查看域名配置详情
  • 编辑域名配置
  • 停用、启用或删除域名
  • 提交刷新或预热任务
  • 为域名配置 HTTPS 证书

权限提升方法与示例

以下示例将演示如何在遇到权限不足的错误时,为您的 RAM 用户提升权限。

说明

系统每次报错仅会提示当前操作所缺少的单个接口权限。一个完整的任务(如“查看域名详情”)可能依赖多个接口。因此,您可能需要重复“操作 -> 报错 -> 添加权限”的循环,直至任务成功。

示例 1:补充查看域名详情的权限

场景描述:
在多云CDN控制台的 多云域名 页面,当您点击某个域名以查看其详细配置时,收到权限不足的错误提示。

原因分析:
此错误表明,您当前的 RAM 用户缺少调用“查询域名详细信息”相关接口的权限。
无权限接口:
根据错误提示和任务依赖分析,可能缺失以下一个或多个阿里云接口权限:

  • cdn:DescribeCdnDomainDetail
  • cdn:DescribeCdnDomainConfigs
  • cdn:DescribeDomainCertificateInfo

授权步骤:

  1. 在阿里云 访问控制 (RAM) 控制台,找到并编辑您的自定义策略 (mcdn_required)。
  2. 在策略的 Action 列表中,添加上述接口。
    Image
  3. 保存策略。

返回多云CDN控制台,重新尝试查看域名详情。如果再次报错,请重复此过程,直至操作成功。

示例 2:补充内容刷新接口的权限

场景描述:
在多云CDN控制台的 刷新预热 页面,您向阿里云提交了一个 URL 刷新任务。任务记录显示执行失败,错误详情指向权限问题。
Image
原因分析:
错误信息明确指出,RAM 用户缺少执行缓存刷新操作的权限。
无权限接口:

  • cdn:RefreshObjectCaches

授权步骤:

  1. 编辑您的自定义策略 (mcdn_required)。
  2. 在策略的 Action 列表中,添加 cdn:RefreshObjectCaches 接口。
    Image
  3. 保存策略。

返回多云CDN控制台,重新尝试提交刷新任务进行验证。