管理自定义策略
当内置系统策略过宽、过窄,或团队只希望开放部分操作时,创建自定义策略。自定义策略只定义允许的服务和操作;授权给用户或用户组时,还需要单独配置授权范围。
确认当前账号能管理策略
默认仅超级管理员可创建、编辑、删除策略,并管理策略授权。非超级管理员如需管理策略,请先由超级管理员授予相应权限。
创建只包含必要操作的自定义策略
创建自定义策略前,先列出用户完成任务必须使用的服务和操作。不要把无关服务放进同一策略。
进入 策略管理 页面,点击 创建自定义策略。
选择服务类型。只选择本策略确实需要控制的服务。
选择操作。优先只勾选完成任务所需的操作;如果页面需要正常展示列表、详情或下拉选项,通常还需要补充对应的查询类操作。
填写策略名称和描述。名称建议写明职责或操作边界,例如“审计只读”或“项目成员发布审批”。
保存策略后,为用户或用户组授权,并在授权时配置范围。
提示
策略只定义操作,不保存范围。如果同一策略需要用于不同范围,请在授权时分别配置,或用不同用户组承载不同范围。
克隆接近目标权限的策略
如果已有内置策略或自定义策略接近目标权限,使用克隆可以减少遗漏。克隆后会生成新的自定义策略,修改新策略不会影响原始策略。
- 在策略列表选择源策略,点击 克隆。
- 修改名称和描述,让新策略能被审计人员识别。
- 删除不需要的服务或操作。
- 补充页面展示、列表查询或下拉选择所需的查询类操作。
- 保存后重新授权。
查看策略内容和授权记录
策略详情页用于确认两件事:策略允许哪些操作,以及这些操作已经授权给了谁。
- 在 策略内容 中,检查该策略包含的服务和操作。
- 在 授权记录 中,检查该策略已授权给哪些用户或用户组,以及每条授权使用的范围。
从策略详情页授权或解除授权
当目标是“给更多人使用这条策略”或“回收这条策略”时,可以直接从策略详情页操作。
- 进入策略详情页。
- 打开 授权记录。
- 点击授权新增用户或用户组,并为本次授权配置范围。
- 对不再需要的授权记录点击 解除授权。
信息
如果同一用户还通过其他策略或用户组拥有相同操作,解除当前策略授权不一定会立刻收紧最终权限。请回到用户详情页检查该用户的完整权限来源。
删除没有授权记录的自定义策略
删除策略前,先确认该策略没有任何授权记录。内置系统策略不可删除。
- 在策略详情页查看 授权记录。
- 解除所有用户和用户组授权。
- 返回策略列表删除该自定义策略。
策略未生效时检查操作和范围
如果自定义策略授权后用户仍无权限,按顺序检查:
- 策略是否已授权给目标用户或用户组。
- 策略是否包含用户要执行的具体操作。
- 是否缺少页面展示所需的查询类操作。
- 授权范围是否覆盖目标资源。
- 用户是否已重新登录或刷新页面。
更完整的排查顺序请参见理解策略和授权范围。
常见问题
以下问题用于澄清自定义策略的创建、复用和生效边界。请记住:策略只保存操作集合,不保存授权范围。
可以克隆系统内置策略吗?
可以。克隆后会创建新的自定义策略,你可以修改新策略中的服务和操作,不会影响原始内置系统策略。
自定义策略可以自带授权范围吗?
不可以。自定义策略只定义允许的服务和操作。授权范围需要在把策略授权给用户或用户组时单独配置。
例如,可以创建一条“任务发布审批”自定义策略,只包含查看任务和审批任务的操作。授权给项目 A 用户组时,范围选择项目 A;授权给项目 B 用户组时,范围选择项目 B。策略本身不保存项目 A 或项目 B。
为什么自定义策略授权后仍然无法打开页面?
常见原因是策略缺少页面展示、列表查询或下拉选择所需的查询类操作,或者授权范围没有覆盖目标资源。请先检查策略操作集合,再检查授权范围。
例如,用户要打开某个任务详情页时,策略可能既需要包含任务详情查看操作,也需要包含任务列表查询操作;如果这些操作都已包含,但授权范围只覆盖资源池 A,用户仍不能打开资源池 B 中的任务。
自定义策略有数量限制吗?
请以控制台实际限制为准。即使页面允许继续创建,也建议只保留有明确职责、项目或审计价值的策略,避免大量相似策略增加排查成本。