创建IAM子用户及用户组
具体操作,请参见 适用于科研教育的主子账号及预警配额设置 或 统一身份认证 IAM 。
授权系统策略
管理员登录IAM控制台。
点击左侧导航窗格的“策略管理”,在策略名称搜索栏中输入“bc”,可以看到科研助手的系统策略。
点击左侧导航窗格的“用户组”,选择一个用户组,点击操作栏的“授权”,在策略名称搜索栏中输入“bc”,可以选择科研助手的系统策略。根据需要,选择策略名称,点击“下一步”,再点击“确定”,即可对用户组进行策略控制。
创建自定义策略
目前IAM支持以下两种方式创建自定义策略:
可视化视图:通过可视化视图创建自定义策略,无需了解JSON语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
JSON视图:通过JSON视图创建自定义策略,可以直接在编辑框内编写JSON格式的策略内容。
操作步骤如下:
可视化视图配置自定义策略
管理员登录IAM控制台。
点击左侧导航窗格的“策略管理”,点击策略管理页面的“创建自定义策略”按钮,进入创建自定义策略页面。
输入策略名称、策略描述等基本信息后,点击“下一步”。
选择“可视化视图”。
效果:选择“允许”或“拒绝”。
云服务:选择【科研助手】。
选择“操作”,根据需求勾选产品权限。
(可选)在“策略配置方式”选择JSON视图,将可视化视图配置的策略内容转换为JSON语句进行检视和编辑,您可以在JSON视图中对策略内容进行修改。
单击“确定”,完成自定义策略的创建。
JSON视图配置自定义策略
管理员登录IAM控制台。
点击左侧导航窗格的“策略管理”,点击策略管理页面的“创建自定义策略”按钮,进入创建自定义策略页面。
输入策略名称、策略描述等基本信息后,点击”下一步“。
选择“JSON视图”
(可选)在“策略内容”区域,单击“从已有策略复制”,例如选择“bc user”作为模板。
修改模板中策略授权语句。您可以参考策略语法,完成策略JSON语句的编写。
作用(Effect):允许(Allow)和拒绝(Deny)。
权限集(Action):写入各服务API授权项列表中“授权项”中的内容,例如:"bc:job:list",来实现细粒度授权。
说明
自定义策略版本号(Version)固定为1.1,不可修改。
单击“确定”后,系统会自动校验语法,如跳转到策略列表,则自定义策略创建成功;如提示“策略内容错误”、“JSON格式有误”,请按照策略JSON语法规范进行修改。
策略字符长度超出限制的解决方案
背景:使用自定义策略时,随着权限配置内容增多,可能出现策略字符超限、无法保存的问题,可通过以下两种方案处理:
方案一:拆分策略并绑定至同一身份
将超限的大型策略,按功能维度或资源类型拆分为多条字符长度合规的自定义策略;
把拆分后的多条策略,统一绑定至目标 IAM 用户或用户组即可。
方案二:精简策略配置内容
合并重复权限 Action,使用通配符
*替代具体API列表;示例:
如下两个三元组:
bc:exclusivePool:getUsage、bc:exclusivePool:getQuota可精简为:bc:exclusivePool:get*若需配置开发机全部权限,可直接简化为:
bc:ide:*
