package.yamlファイルで権限ポリシーの構文を定義するだけで、アプリケーションの権限範囲を制御できます。package.yaml ファイル内で role.policy により権限ポリシーを宣言します。構文は CAM 権限ポリシーと同一です。詳細は CAM 権限ポリシー構文構造 を参照してください。以下は例です:args:- name: app_coslabel: ストレージバケットを選択widget: cos-bucket-selectrole:policy:version: "2.0"statement:# 権限 1:LICENSE 検証に対応する- action:- cloudapp:VerifyLicenseresource: "*"effect: allow# 権限2:アプリケーションインスタンスのTagの下のCVMの再起動をサポートする- action:- cvm:RebootInstancesresource: "*"condition:"for_any_value:string_equal":"qcs:tag":#VALUE!effect: "allow"# 権限 3:インストール時に選択した COS バケットへのアクセスをサポートする- action:#VALUE!resource:#VALUE!#VALUE!effect: allow
role.policy で権限ポリシーを宣言する際は「WYSIWYG」の原則に従い、ランタイムロールが持つ全ての権限は package.yaml で明示的に宣言する必要があります。var.cloudapp_idシステム変数を使用して、Tagによる権限付与を実現します。var.app_cosインストールパラメータを使用し、リソースレベルの権限付与を実現します。scopes.cloudAPIを通じて宣言された権限は引き続き有効です。role.policyを用いて権限ポリシーを宣言してください。scopes.cloudAPIで宣言します。例を次に示します:scopes:cloudAPI:- cvm:DescribeInstances
role:policy:version: "2.0"statement:- action:- cvm:DescribeInstances- cloudapp:VerifyLicenseresource: "*"effect: allow
cloudapp:VerifyLicenseインターフェースが権限ポリシーに追加され、明示的な宣言は不要です。新バージョンでは、ランタイムロールの権限には明示的に宣言されたインターフェースのみが含まれます。role.policyにおいてcloudapp:VerifyLicenseを明示的に宣言する必要があります。さもなければ、アプリケーションはLicenseとの連携を行うことができません。scopes.cloudAPI フィールドを削除する必要があります。フィードバック