操作场景

用户需要对子账号的CRS相关权限进行细粒度控制，通过创建自定义策略，提高管理CRS实例的灵活性和安全性。

前提条件

• 拥有主账号权限

• 已开通容器镜像服务CRS实例

操作步骤

创建自定义策略 

方式一：使用IAM策略助手创建自定义策略（推荐）

1. 登录容器镜像服务控制台，选择左侧导航栏的 IAM策略助手功能。

2. 选择创建方式:。

   1. 基于系统策略自定义：如果您需要在系统策略的基础上进行修改，可以选择所需的系统策略，然后点击【克隆】。

   2. 从零创建自定义策略：如果您需要完全自定义策略，请点击【创建权限策略】。

      

3. 以从零创建自定义策略为例，在创建策略页面，输入策略的【策略名称】和【策略备注】。

   

4. 权限语句分为三个部分，配置完成后，点击保存权限语句：

   1. 权限效力：允许（允许策略中配置的权限和资源），拒绝（拒绝策略中配置的权限和资源）。

   2. 操作权限：勾选您需要配置的操作权限。您可以在列表中搜索和选择需要的 CRS 操作。

   3. 操作权限的资源：根据所选的操作权限，部分权限支持配置限定资源范围，例如实例、命名空间、镜像仓库等。具体可配置的资源类型请参考文档配置IAM权限-CRS资源权限控制。

      

5. 完成权限语句配置后，点击【下一步】，进入策略预览页面。

   1. 推荐勾选CTIAM同步生效， 默认情况下，IAM同步生效 选项会被勾选。 强烈建议您保持勾选此选项，以便在IAM控制台同步生成对应的自定义策略，方便统一管理。

   2. 如果您不勾选此选项，您可以在策略预览页面复制JSON格式的策略内容，然后登录IAM控制台手动创建自定义策略。

      

6. 在 IAM 策略助手页面，您可以对已保存的自定义策略进行克隆、编辑和删除等管理操作。

7. 状态栏会显示自定义策略在IAM的生效状态。 例如，如果策略在IAM控制台中被修改，导致与IAM策略助手中的策略内容不一致，状态栏将显示未生效。 为了保持策略的一致性和可管理性，强烈建议您使用IAM策略助手统一管理您的CRS相关自定义策略。

方式二：IAM控制台创建自定义策略

您也可以直接在IAM 控制台创建自定义策略。

1. 使用天翼云账号登入IAM控制台 。

2. 在左侧导航栏，选择策略管理 - 创建自定义策略。

3. 输入策略名称和策略描述（可选），点击下一步。

4. 设置策略内容，本文介绍使用可视化视图的方式设置，如果需要使用更灵活的JSON视图，请参考IAM文档。

   

• 效果：允许（允许策略中配置的权限），拒绝（拒绝策略中配置的权限）。

• 云服务：搜索关键字容器镜像服务。

• 操作：根据需求勾选需要配置的操作（即权限）。

• 资源：具体见CRS资源权限管控。

• 条件：该配置参考IAM文档。

5. 点击保存，完成自定义策略的创建。

为子账户设置自定义权限策略

1. 使用天翼云账号登入IAM控制台。

2. 在左侧导航栏，选择用户授权子账户。

3. 选择操作 - 查看，进入用户界面，选择权限管理标签页，选择个人权限的新增权限。

4. 搜索框输入自定义权限策略名称，勾选创建的自定义权限策略。

   

5. 点击下一步，由于CRS自定义权限为全局服务资源，无需设置资源池。

6. 点击确定，即可完成为子账户授权。