You need to enable JavaScript to run this app.
导航
制品仓库
  • 文档首页
    • /制品仓库/用户指南/权限管理/权限概述
权限概述
最近更新时间:2023.03.15 18:50:30首次发布时间:2022.09.23 14:15:22
我的收藏

制品仓库支持通过授权 IAM(Identity and Access Management)用户,实现多用户协同操作制品仓库资源的需求。本章节主要介绍授权 IAM 用户使用基础版实例的步骤。

策略是访问控制 IAM 描述能力的一种方式。IAM 支持以下两种权限策略:

  • 系统预设策略:统一由火山引擎创建,您只能使用不能修改,策略的版本更新由火山引擎维护。
  • 用户自定义策略:您可以自主创建、更新和删除策略,策略的版本更新由您自己维护。

预定义策略

制品仓库提供 3 种系统预设策略,您可以直接创建子用户并引用系统预设策略,完成用户赋权。预设策略的说明如下表所示。

系统预设策略说明

ArtifactsFullAccess

制品仓库管理员权限(全读写权限)。拥有制品仓库的最高权限,允许操作制品仓库所有的资源和用户。包括:

  • 支持创建、修改、删除实例。
  • 支持创建、修改、删除仓库。
  • 支持上传、下载、删除制品。
  • 支持创建和管理所有账号的永久凭证和临时凭证。

ArtifactsNormalAccess

制品仓库普通用户权限。拥有制品仓库中,制品级别的操作权限。包括:

  • 支持上传、下载、删除制品。
  • 支持创建和管理本账号的永久凭证和临时凭证。

说明

普通用户权限赋权时,会面向实例下所有的 Repository 资源进行授权,暂不支持面向具体 Repository 进行细粒度的授权。例如:当您赋予 User A 普通用户权限时,该用户同时具有 Repository A、Repository B 等多个制品仓库的普通用户权限。

ArtifactsReadOnlyAccess

制品仓库只读用户权限。拥有制品仓库的只读权限,仅允许操作部分资源。包括:

  • 仅支持查看实例、仓库、制品等资源,不支持创建和删除资源。
  • 仅支持下载制品,不支持上传、删除制品。
  • 支持创建和管理本账号的永久凭证和临时凭证。

自定义策略

用户自定义策略是由一系列 Statement 组成,Statement 由 Effect、Action、Resource 组成:

  • Effect:填写 Allow 或 Deny,Effect 表示此 Statement 是同意性质或是拒绝性质的。
  • Action:表示 Statement 中满足 Effect 的作用范围。
  • Resource:表示 Statement 中满足 Effect 的 Resource 列表。通常用 TRN 的形式表达云平台中的一个资源,TRN 由 Service、Region、Account_ID、Resource_Type/ID 组成。

下面是一个策略示例,在该策略中允许浏览所有制品。可以上传下载具体的某个仓库的制品。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifacts:pull",
                "artifacts:push",
                "artifacts:delete",
                "artifacts:List*",
                "artifacts:Get*",
            ],
            "Resource": [
                "trn::::component/*:releases/*"
            ]
        }
    ]
}