Policies(策略)选项卡显示已定义的策略、其 Status(状态)(启用或禁用)、其 Priority(优先级)、其 Last State Change(最后状态更改)日期和时间以及其 Last Modified(最后修改)日期和时间。
为所有产品定义了名为 Default Policy(默认策略)的策略。
策略的作用是赋予 Roles(角色)访问资源的权限(允许的动作诸如查看、读取、写入、执行、删除等)。
Users(用户)被定义为一个角色的(或拥有的)成员。
一次可以启用多个策略。
策略有 Priority(优先级),用于应用优先顺序来确定角色访问资源的权限。
管理策略
产品中定义了一个名为 Default Policy(默认策略)的默认策略。为了举例说明,添加了一个名为 Test_Admin(测试管理员)的角色,并赋予其对名为 Default Policy(默认策略)的策略中所有资源的访问权限,如下图所示:
不同产品的默认策略中的资源和角色可能会有所不同,但一般的管理任务是相似的。
- 标有 Resources(资源)的列列出了该节点上可用的资源类别。每个类别都可以使用类别旁边的 [+] 和 [-] 图标展开和折叠。展开后,会列出其他类别或资源。
- 每个角色都作为一列列出,在本例中,角色是 Users(用户)和 Test_Admin(测试管理员)。
- 注意,没有列出管理员角色。管理员用户是系统定义的特殊用户,可以访问所有资源,其权限无法改变。
- 每个资源类别(如果展开,则每个资源)都有该角色的访问指示。
策略参数、功能和资源访问指标如下:
| 项目 | 描述 |
|---|---|
| Policy(策略) | 策略的名称。名为 Default Policy(默认策略)的策略是随产品一起定义的,不同产品的资源和角色可能不同。 |
| Priority(优先级) | 策略的优先级,从 1 到 100 的数字。策略优先级用于应用优先顺序来确定 Role(角色)访问资源的权限。优先级数字越低意味着优先顺序越靠前。 |
| Resource(资源) | 表中的这一列列出了资源类别,展开后,还列出了每个角色被授予或拒绝访问的资源和动作。 |
| Role(角色) | 每个角色都被列为一列。在本例中,角色是 Users(用户)和 Test_Admin(测试管理员)。 |
| Access indicators (访问指标) |
访问指标显示是否允许访问,包括可能从不同的优先级策略访问。用鼠标单击这些指标即可切换。 这些指标如下:
|
| Save(保存) | 为策略保存角色的参数和访问指标。 |
| Clear All(全部清除) | 将所有角色的所有访问指标重置为灰色的 X 标记。 |
绿色复选标记。允许访问此类别和所有子类别,或允许访问此资源,或允许访问此动作。
灰色复选标记。允许基于对父类别的访问,固有地可对资源或动作进行访问。
红色 X 标记。不允许访问资源类别,或不允许访问资源,或不允许访问动作。
灰色 X 标记。基于不允许对父类别的访问,固有地不允许对资源或动作进行访问。策略优先级优先顺序示例
在上面的 Default Policy(默认策略)示例中,Priority(优先级)为 50。 在其他访问指标中,Users(用户)角色有一个:
- Advanced(高级)类别的红色 X 标记
- Devices(设备)类别的灰色 X 标记。
如果启用此策略,且未启用其他策略,则所有具有 Users(用户)角色的用户名称将无法访问 Advanced(高级)或 Devices(设备)资源类别、资源和动作。
如果启用了另一个优先级较低的策略,例如 75,其中 Users(用户)角色的访问指标为:
- Advanced(高级)类别的绿色复选标记
- Devices(设备)类别的绿色复选标记。
那么,Users(用户)角色的访问权限将包括:
- 不允许对 Advanced(高级)类别的访问,因为更高的优先级 (50) 策略有一个红色的 X 标记(表示不允许)
- 允许对 Devices(设备)类别的访问,因为优先级较高的 (50) 策略有一个灰色的 X 标记(使用优先级较低的策略),且优先级较低的 (75) 策略有一个绿色的复选标记(表示允许)。
安全功能的这种多策略优先级优先顺序功能可以用来创建分层的访问控制方法。