文档中心
文档中心 >
下载PDF文档

策略管理

策略代表了一组权限,其存在于主账户名下,通过管理主账户的策略能够完成权限的设定、分配、撤销等工作。

新建自定义策略

主账户或者授权的IAM用户可以为主账户创建新的自定义策略,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,点击“新建”按钮,进入“新建策略”向导对话框,如下图 新建策略
  4. 目前支持三种创建自定义策略的方式:通过复制系统策略生成、使用策略生成器或者直接创建空白策略文档,其难度逐渐递增
    • 复制系统策略 选择“复制系统策略”,进入系统策略选择页面,如下图 新建策略复制系统策略 确定某个“系统策略”作为策略模板,点击“选择”按钮,进入“查看策略”页面,如下图 查看复制系统策略 其中策略名称、描述和策略文档的信息直接从所选择的系统策略复制得到,可以编辑修改,修改完成后,可以点击“验证策略”来验证策略文档的格式是否符合要求,如果没有问题则可以点击保存生成新的自定义策略文档。
    • 策略生成器 选择“策略生成器”,进入策略生成页面,如下图 新建策略策略生成器 可以点击“添加”按钮来添加新的策略语句,每条策略语句包含如下内容:权限(允许/禁用)、产品/服务、操作列表(所选择的产品或者服务对应的操作列表),授权的资源KRN,如下图 策略生成器新策略语句 策略语句选择/添加完毕后,可以点击“确定”按钮,确定一条策略语句,可以添加多条策略语句,所有策略语句添加完毕后,可以点击“下一步”,进入“查看策略”页面,此时将根据策略语句来生成策略文档,而策略名称和描述信息均为空(需要手动添加),完成所有自定义策略内容设定后,可以点击“验证策略”来验证策略文档的格式是否符合要求,如果没有问题则可以点击保存生成新的自定义策略文档。
    • 空策略文档 选择“空策略文档”,进入“查看策略”页面,如下图 手动策略 此时将生成一个“空”自定义策略,需要手动填写名称、描述和策略文档信息,完成所有自定义策略内容设定后,可以点击“验证策略”来验证策略文档的格式是否符合要求,如果没有问题则可以点击保存生成新的自定义策略文档。

约束1:策略名非空且不能超过128个字符,必须仅包含字母数字字符或以下符号+=,.@-

约束2:策略文档非空,且不超过2048个字符,且必须为json格式。 约束3:新创建的策略其策略版本为v1,并被自动设置为“默认策略版本”;新创建的策略的名称不能与已存在自定义策略同名,但是可以与系统策略同名。

删除自定义策略

主账户或者授权的IAM用户可以为主账户删除一个或者多个自定义策略,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,选中一个或者多个自定义策略,点击“删除”按钮,进入“删除策略”提示框,如下图 删除策略 确认待删除策略无误后,点击“删除”按钮,相关自定义策略被删除。
  4. 由于删除策略会首先解绑所有关联IAM用户实体,因此在提示框页面,待删除策略名称右侧有“查看关联用户”链接,点击后会下拉展开当前策略关联的用户列表(用户名和姓名),如下图 策略当前关联用户列表

注1:删除策略时需要保证策略当前不被附加到任何IAM用户实体上,且除默认策略版本外,其他策略版本均已被删除,即成功删除策略流程如下: 1. 将欲删除的策略从用户上分离 2. 将欲删除的策略除默认版本外的其他策略版本删除 3. 完成策略删除动作(默认策略版本一并被删除)

注2:内置的全局系统策略不能被删除

查看策略列表

能够查看当前主账户下的策略的列表信息,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,能够查看当前主账户的策略列表(包括系统全局策略和自定义策略),如下图 策略列表
  4. 列表项包括:策略名称、策略类型、默认策略版本、策略描述、策略创建时间、操作列表

查看策略详情

能够查看当前主账户下的策略的详情信息,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,点击某系统或者自定义策略“名称”,进入策略详情页面,如下图 策略详情 4.页面上部显示策略基本信息,包括:策略名称、KRN、策略类型、策略描述和创建时间;页面下部显示策略文档tab页、策略关联用户tab页和策略版本tab页

    查看策略文档

能够查看当前主账户下的某个策略的策略文档信息,有两种途径。

  • 途径一
    操作如下: 1. 使用主账户或者已授权的IAM用户身份登录控制台(新版) 2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单 3. 在“策略管理”列表页面,点击某系统或者自定义策略“名称”,进入策略详情页面,点击策略文档tab页,能够查看当前策略的默认策略版本的策略文档

  • 途径二
    操作如下: 1. 使用主账户或者已授权的IAM用户身份登录控制台(新版) 2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单 3. 在“策略管理”列表页面,点击某系统或者自定义策略操作列表的“显示策略”按钮,进入"策略文档"显示提示框,如下图 显示策略文档

编辑策略文档

能够通过编辑当前主账户下的自定义策略的策略文档生成新的策略版本,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,点击某自定义策略“名称”,进入策略详情页面,点击策略文档tab页,点击“编辑”按钮,进入策略文档编辑模式,如下图 编辑策略文档 完成文档内容编辑后,可以点击“验证策略”来验证策略文档的格式是否符合要求,如果没有问题则可以点击保存生成新的自定义策略文档版本。
  4. 在保存生成新的自定义策略文档版本的同时可以勾选“保存为默认版本”,此时新生成的策略文档版本会被设置为默认版本

:默认策略文档版本是真正在授权时使用的策略文档。

查看策略版本列表

能够查看当前主账户下某自定义策略的策略版本列表,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,点击某自定义策略“名称”,进入策略详情页面,点击策略版本tab页,点击“编辑”按钮,进入策略文档编辑模式,如下图 策略版本列表 4.列表项包括:策略版本、是否默认版本、创建时间、操作列表

删除策略版本

能够删除当前主账户下某自定义策略的非默认策略版本,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,点击某自定义策略“名称”,进入策略详情页面,点击策略版本tab页,点击非默认策略版本操作列“删除”按钮,进入提示框,确认策略版本后,点击“删除”按钮,完成策略版本的删除。

:只有非默认策略版本能够被删除,默认策略版本在删除自定义策略时一并被删除。

设置默认策略版本

能够设置当前主账户下某自定义策略的非默认策略版本为默认策略版本,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,点击某自定义策略“名称”,进入策略详情页面,点击策略版本tab页,点击非默认策略版本操作列“设为默认”按钮,将相应策略版本设置为默认版本。

查看策略关联用户列表

能够查看当前主账户下的某个策略的关联用户的列表,有两种途径。

  • 途径一
    操作如下: 1. 使用主账户或者已授权的IAM用户身份登录控制台(新版) 2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单 3. 在“策略管理”列表页面,点击某系统或者自定义策略“名称”,进入策略详情页面,点击“关联用户”tab页,能够查看当前策略关联的用户列表,如下图 策略关联用户列表

  • 途径二
    操作如下: 1. 使用主账户或者已授权的IAM用户身份登录控制台(新版) 2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单 3. 在“策略管理”列表页面,点击某系统或者自定义策略操作列表的“关联用户”按钮,进入"关联用户"显示提示框,如下图 策略关联用户列表

:在列表页面直接进入“关联用户”显示提示框,只能查看关联用户;通过策略详情进入的关联用户tab页可以进行用户附加和分离操作。

为策略附加新用户

能够将某个策略附加到新的IAM用户,即为用户授予相关权限,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,点击某自定义策略“名称”,进入策略详情页面,点击关联用户tab页,点击“附加”按钮,进入为策略附加新用户对话框,如下图 策略附件新用户 页面列表显示当前账户下未附加到该policy的IAM用户列表,选择用户,点击“附加”按钮,完成向当前策略附加新用户的操作。

为策略分离已绑定用户

能够将某个策略已附加的IAM用户从策略上分离,即取消相关用户的授权,操作如下:

  1. 使用主账户或者已授权的IAM用户身份登录控制台(新版)
  2. 选择“身份与管理”一级菜单->选择“身份与访问控制”二级菜单->选择“策略管理”三级菜单
  3. 在“策略管理”列表页面,点击某自定义策略“名称”,进入策略详情页面,点击关联用户tab页,选择需要分离的用户,点击“分离”按钮,进入分离策略提示框,确认分离用户后,点击“分离”按钮,完成策略已绑定用户的分离。