908      阿里云

权限__授权管理_用户指南_访问控制-阿里云

权限是允许(Allow)或拒绝(Deny)在某种条件下、对某些资源执行某些操作。

主帐号（资源Owner）控制所有权限

每个资源有且仅有一个属主（资源Owner），属主必须是云帐号，是对资源付费的人，对资源拥有完全控制权限。资源属主不一定是资源创建者。比如，一个RAM用户被授予创建资源的权限，该用户创建的资源归属于主帐号，该用户是资源创建者但不是资源属主。

RAM用户（操作员）默认无任何权限

RAM用户代表的是操作员，其所有操作都需被显式授权，新建RAM用户默认没有任何操作权限，只有在被授权之后，才能通过控制台和API操作资源。

资源创建者（RAM用户）不会自动拥有对所创建资源的任何权限

如果RAM用户被授予创建资源的权限，用户将可以创建资源，但不会自动拥有对所创建资源的任何权限，除非资源Owner对他有显式的授权。

访问策略

访问策略（Policy）是用访问策略语言所描述的一组权限，它可以精确的描述被授权的资源集、操作集以及授权条件。当授权策略中既有Allow又有Deny的授权语句时，我们遵循Deny优先的原则。

在RAM中，访问策略是一种资源实体，用户可以创建、更新、删除和查看访问策略。RAM支持两种类型的授权策略：系统访问策略和自定义访问策略。系统访问策略是由阿里云创建和管理的一组常用的权限集，比如对ECS的只读权限、对ECS的完全权限等，用户只能使用而不能修改。自定义访问策略由客户自己创建和管理，它是对系统访问策略的扩展和补充。系统访问策略所描述的权限粒度较粗，如果用户需要更精细的授权描述，比如精确控制对某个ECS实例的权限或添加授权条件限制，则需要用户创建自定义授权策略。

给RAM用户授权

给RAM用户授权的方法是给用户或用户组绑定一个或多个授权策略。绑定的授权策略可以是系统授权策略也可以是自定义授权策略。如果绑定的授权策略被更新，更新后的授权策略自动生效，无需重新绑定授权策略。

最后更新：2016-11-23 16:04:01

  上一篇： 角色__身份管理_用户指南_访问控制-阿里云

  下一篇： 授权策略管理__授权管理_用户指南_访问控制-阿里云