本文档将为您介绍如何创建访问控制策略。
可授权的资源类型
资源级权限是能够指定用户对哪些资源具有执行操作的能力。
云加密机部分接口支持使用资源级权限对密钥进行操作,可控制允许用户何时执行操作或是否允许用户使用特定资源,云加密机目前可授权的资源类型如下:
资源类型 | 授权策略中资源描述方法 |
所有的密钥资源 | qcs::cloudhsm:$Region:uin/$Uin:vsm/* |
主账号为$Uin,资源ID为$ResourceId的资源 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/* |
其中以$为前缀的单词均为代称:
$uin:指代主账号 ID。
$region:指代地域。
$creatorUin:指代创建该资源的账号 ID。
$keyId:指代密钥 ID。
支持资源级授权的 API 列表
云加密机部分接口支持资源级授权,您可以指定子账号拥有特定资源的接口权限。
API 接口 | 描述信息 |
DescribeVsmAttributes | 获取资源详情 |
ModifyVsmAttributes | 修改资源详情 |
DescribeVsms | 获取资源列表 |
创建策略
1. 登录 访问管理 控制台。
2. 在左侧导航中,单击策略,进入“策略”页面。
3. 在“策略”页面,选择新建自定义策略 > 按策略语法创建,进入策略创建页面。
4. 根据需求选择合适的策略模板,单击下一步。
5. 在编辑策略页面,输入策略名称和策略内容,策略内容可参见下方示例。
{"version": "2.0","statement": [{"effect": "allow","resource": ["qcs::cloudhsm::uin/2942368751:vsm/hsm-tounrmcg","qcs::cloudhsm::uin/2942368751:vsm/hsm-iteb2nt0"],"action": ["cloudhsm:*"]},{"effect": "allow","resource": ["*"],"action": ["cloudhsm:DescribeHSMBySubnetId","cloudhsm:DescribeHSMByVpcId","cloudhsm:DescribeVpc","cloudhsm:InquiryPriceBuyVsm","cloudhsm:DescribeUsg","cloudhsm:DescribeUsgRule","cloudhsm:DescribeSubnet"]}]}
6. 单击完成,即可创建相应策略。
