Создание политики для группы пользователей
В дополнение к системным настройкам прав можно создать собственные политики и применить их к группам пользователей для более гибкого контроля доступа к сервисам. Например, политика может разрешать создание VPC, а также создание и удаление групп и правил безопасности в выделенном облаке.
на этой странице
Создание политики в визуальном редакторе
Войдите в консоль управления Advanced. Для дальнейшей работы в консоли нужна роль администратора безопасности.
В панели слева выберите Policy и нажмите Create Custom Policy.
Введите название политики.
Выберите область действия политики. Область действия зависит от вида сервиса, доступ к которому регулирует политика:
Global services — для сервисов, доступных во всех регионах.
Project-level services — для сервисов, развернутых в конкретном регионе. Пример: политика для Elastic Volume Service (EVS) с действием
evs:volumes:create.
Примечание
Регион — географическая область, в которой действуют заданные разрешения.
Чтобы задать разрешения, необходимые для доступа к сервисам, развернутым как глобально, так и в конкретном проекте, создайте две политики и задайте для них область действия.
Выберите Visual editor в параметре Policy View.
Настройте политику:
Выберите Allow или Deny.
Примечание
В каждый блок разрешений можно добавить только один сервис. Чтобы настроить разрешения для нескольких сервисов, нажмите Add Permissions или переключитесь на режим JSON.
Выберите действия.
Выберите все ресурсы или перечислите конкретные ресурсы, задав их пути.
При необходимости добавьте условия запроса с помощью условных ключей, операторов и значений:
Параметр
Описание
Пример
Condition Key
Ключ в условном выражении:
Глобальный ключ. Начинается с последовательности g: и используется в операторах для всех сервисов.
Ключ на уровне сервиса. Начинается с аббревиатуры сервиса и двоеточия (например, obs:) и используется для операций в соответствующих сервисах.
g:DomainNameobs:SourceIpOperator
Оператор — используется вместе с ключом.
StringStartWithAnyOfIfExistsIpAddressValue
Значение — используется вместе с ключом и оператором для формирования законченного условного выражения.
sber100.100.199.199.20
Если нужно изменить политику с использованием формата JSON, переключитесь в режим JSON.
Задайте описание для политики при необходимости.
Нажмите OK.
Назначьте политику группе пользователей. Пользователь наследует политику группы, в которую входит.
Создание политики с помощью JSON
Начните создавать политику, как описано выше в шагах 1-4 раздела Создание политики в визуальном редакторе.
Включите режим JSON в параметре Policy View.
При необходимости нажмите Select Existing Policy и выберите политику, которую хотите использовать как шаблон, например, VPC Admin.
Нажмите OK.
Задайте или измените выражения в шаблоне.
Effect — введите Allow или Deny.
Action — введите действия, доступные в API сервиса, например,
evs:volumes:create.
Нажмите Validate. Если появится сообщение об ошибке валидации, проверьте синтаксис и отредактируйте правила политики.
Задайте описание для политики при необходимости.
Нажмите OK.
Назначьте политику группе пользователей. Пользователь наследует политику группы, в которую входит.
Назначение политики группе пользователей
Чтобы политика вступила в силу, определите, на какую группу пользователей и в рамках какого проекта она будет распространяться:
В панели слева выберите User Groups и нажмите Modify в строке с нужной группой.
В блоке Group Permissions нажмите Attach Policy в строке с нужным проектом.
В окне Attach Policy выберите из списка Available Policies одну или несколько политик. Чтобы быстро найти политику, введите ее название в поле Enter a policy name.
Убедитесь, что в списке Selected Policies перечислены необходимые политики.
Сохраните список политик — нажмите OK.
Сохраните настройки группы — нажмите OK.
См.также
для Dev & Test