阿里云CDN子用户授权策略和权限配置

配置策略

阿里云CDN支持系统策略和用户自定义策略两种，分别实现阿里云CDN的产品级权限和域名级权限控制。

• 系统策略：阿里云系统为管理资源而预定义的权限集，这类策略可直接为子用户授权，用户只能使用而不能修改。
• 自定义策略：由用户自己创建，更细化的管理资源的权限集，可以针对单个域名配置权限，更加灵活的满足账户对不同用户的差异化权限管理。

系统策略

阿里云CDN有CdnReadAccessPolicy、CdnOperateAccessPolicy和CdnFullAccessPolicy三种系统策略，三种系统策略的权限范围说明如下：

策略名称说明备注CdnReadAccessPolicy只读访问阿里云内容分发网络(阿里云CDN)的权限阿里云CDN 只读策略：
- 查看阿里云CDN域名
- 查看域名配置
- 查看缓存刷新的操作记录
- 统计分析中数据（除了“WAF防护”“服务月报”功能）CdnOperateAccessPolicy运维操作阿里云内容分发网络(阿里云CDN)的权限，运维权限包含只读权限。阿里云CDN运维策略：
- 阿里云CDN修改域名配置
- 刷新缓存
- 日志转储和下载
- IP检测等操作CdnFullAccessPolicy管理阿里云内容分发网络(阿里云CDN)的权限，管理权限包含只读和运维权限。阿里云CDN管理策略：
- 阿里云CDN所有操作权限
- 计费变更
- 添加域名
- 停止域名加速
- 删除域名

注：子账户所支持功能的操作步骤均与对应主账户功能的操作步骤相同。

自定义策略

在策略管理 -> 自定义策略中，你可以为你的账户定义业务相关的自定义策略，以实现细粒度地权限管控。

您也可以基于标签为相同类型的资源（加了相同标签的资源）快速构建一条自定义策略，常适用于解决大量不同产品或服务组合授权的问题。

按策略生成器创建

1. 登录云控制台，鼠标移到右上角头像处，进入多用户访问控制>策略管理;
2. 点击创建策略，弹窗中选择按策略生成器创建；
3. 填写基本信息中的策略名称和描述；
4. 填写权限配置：选择服务类型为“阿里云CDN”，其中策略生成方式默认为策略生成器，不需要修改。自定义策略支持对域名设定配置、启停和删除的操作权限且可以多选；选择完权限后，勾选可操作的资源范围即域名。

5. 点击完成，保存自定义策略。

按标签创建

1. 登录云控制台，鼠标移到右上角头像处，进入多用户访问控制>策略管理;
2. 点击创建策略，弹窗中选择按标签创建；
3. 填写基本信息中的策略名称和描述；

4. 填写权限配置：

   • 选择标签：选择你需要的标签键值对，如果没有标签，可以选择点击还没有标签？点击创建标签链接跳转到标签管理；
   • 选择服务：选择 内容分发网络 阿里云CDN；
   • 选择操作：已选服务的权限操作，统一为只读、运维和管理权限；
   • 资源范围：展示已选择服务的资源列表，如未命中任何实际资源，则代表全局所有资源，在未来的时间范围内，如果你将当前标签关联到实际的资源，该资源将受到当前自定义策略的控制。

5. 点击完成，保存已配置策略。

用户授权

在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”，并为用户选择系统权限或自定义策略进行授权。

说明：如果在不修改已有策略规则的情况下修改某子用户的权限，只能通过删除已有的策略并添加新的策略来实现，不能取消勾选已经添加过的策略权限。

子用户登录

主账号完成对子用户的授权后，可以将链接发送给子用户；子用户可以通过IAM用户登录链接登录主账号的管理控制台，根据被授权的策略对主账户资源进行操作和查看。

基于标签创建自定义策略的典型应用

主用户为子用户A授予可添加域名且自动获得该域名的管理权限

1. 主用户规划标签，比如给用户A规划标签 Key: department/Value: 123，并在标签管理中建立对应标签;

2. 主用户进入IAM多用户访问控制 -> 策略管理，点击创建策略，选择创建策略的方式为基于标签创建；

3. 主用户 填写策略的基本信息，如命名策略为 policy_for_user_A_with_tag123,在权限配置内选择标签 Key: department/Value: 123，选择服务 “内容分发网络 阿里云CDN”，选择操作“管理权限”，资源范围默认展示拥有该标签属性的所有资源，点击完成保存；
4. 主用户创建子用户A，如UserA，并为UserA授予策略 policy_for_user_A_with_tag123 的权限；
5. 子用户UserA 登录控制台，进入阿里云CDN，选择域名管理 > 新添加域名，如添加域名为“cloud.test.com”, 在添加“标签”处，默认绑定标签 Key: department/Value: 123，点击完成即完成域名创建，并且子用户UserA 拥有了管理域名 cloud.test.com 权限，且子用户UserA 无其他域名任何权限，如需给子用户UserA 其他域名的访问权限，需要主用户在IAM中额外授权。

主用户为子用户A授予某一类域名的管理权限，且授予另一类域名的查看权限

1. 主用户规划标签，比如给用户A规划标签 Key: department/Value: 123，并在标签管理中建立对应标签;

2. 主用户进入IAM多用户访问控制 -> 策略管理，点击创建策略，选择创建策略的方式为基于标签创建；

3. 主用户 填写策略的基本信息，如命名策略为 policy_for_user_A_with_tag123,在权限配置内选择标签 Key: department/Value: 123，选择服务 “内容分发网络 阿里云CDN”，选择操作“管理权限”，资源范围默认展示拥有该标签属性的所有资源，点击完成保存；
4. 主用户 创建策略 ReadOnlyPolicy_with_tag456, 在权限配置内选择标签 Key: department/Value: 456，选择服务 “内容分发网络 阿里云CDN”，选择操作“只读权限”，资源范围默认展示拥有该标签属性的所有资源，点击完成保存；
5. 主用户 创建子用户A，如UserA，并为UserA授予策略 policy_for_user_A_with_tag123 和 ReadOnlyPolicy_with_tag456的权限;
6. 子用户UserA 在域名管理列表中，即可看到绑定了标签 Key：department/value：123的域名，也可以看到绑定了标签 Key：department/value：456的域名，但只能修改绑定了标签Key：department/value：123的域名，不能修改绑定了标签 Key：department/value：456的域名。