192
授權策略管理__授權管理_用戶指南_訪問控製-阿裏雲
授權策略是一組權限的集合,它以一種策略語言來描述。關於授權策略語言的詳細描述,請參考附錄中的授權策略語言章節。通過給用戶或群組附加授權策略,用戶或群組中的所有用戶就能獲得授權策略中指定的訪問權限。
我們支持兩種類型的授權策略:係統授權策略和客戶自定義授權策略。
係統授權策略
係統授權策略是阿裏雲提供的一組通用授權策略,主要針對不同產品的隻讀權限或所有權限。對於阿裏雲提供的這組授權策略,用戶隻能用於授權,而不能編輯和修改。對於這些係統授權策略,阿裏雲會自動進行更新或修改。
如果要查看阿裏雲支持的所有係統授權策略,請登錄RAM控製台 -> 進入授權策略管理頁麵,用戶就可以看到所有的係統授權策略列表.
RAM支持的係統授權策略列表如下:
| 係統授權策略名稱 | 所包含的權限注解 |
|---|---|
| AdministratorAccess | 管理所有阿裏雲資源的權限 |
| AliyunActionTrailFullAccess | 管理操作審計(ActionTrail)的權限 |
| AliyunActionTrailReadOnlyAccess | 隻讀訪問操作審計(ActionTrail)的權限 |
| AliyunBatchComputeFullAccess | 管理批量計算服務(BatchCompute)的權限 |
| AliyunBSSFullAccess | 管理費用中心(BSS)的權限 |
| AliyunBSSOrderAccess | 在費用中心(BSS)查看訂單、支付訂單及取消訂單的權限 |
| AliyunBSSReadOnlyAccess | 隻讀訪問費用中心(BSS)的權限 |
| AliyunCDNFullAccess | 管理CDN的權限 |
| AliyunCDNReadOnlyAccess | 隻讀訪問CDN的權限 |
| AliyunCloudMonitorFullAccess | 管理雲監控(CloudMonitor)的權限 |
| AliyunCloudMonitorReadOnlyAccess | 隻讀訪問雲監控(CloudMonitor)的權限 |
| AliyunDirectMailFullAccess | 管理郵件推送(DirectMail)的權限 |
| AliyunDirectMailReadOnlyAccess | 隻讀訪問郵件推送(DirectMail)的權限 |
| AliyunECSFullAccess | 管理雲服務器服務(ECS)的權限 |
| AliyunECSReadOnlyAccess | 隻讀訪問雲服務器服務(ECS)的權限 |
| AliyunEIPFullAccess | 管理彈性公網IP(EIP)的權限 |
| AliyunEIPReadOnlyAccess | 隻讀訪問彈性公網IP(EIP)的權限 |
| AliyunEMRFullAccess | 管理E-MapReduce的權限 |
| AliyunKvstoreFullAccess | 管理雲數據庫Redis版(Kvstore)的權限 |
| AliyunKvstoreReadOnlyAccess | 隻讀訪問雲數據庫Redis版(Kvstore)的權限 |
| AliyunLogFullAccess | 管理日誌服務(Log)的權限 |
| AliyunLogReadOnlyAccess | 隻讀訪問日誌服務(Log)的權限 |
| AliyunMNSFullAccess | 管理消息服務(MNS)的權限 |
| AliyunMNSReadOnlyAccess | 隻讀訪問消息服務(MNS)的權限 |
| AliyunMTSFullAccess | 管理媒體轉碼服務的權限 |
| AliyunOCSFullAccess | 管理雲數據庫Memcache版(OCS)的權限 |
| AliyunOCSReadOnlyAccess | 隻讀訪問雲數據庫Memcache版(OCS)的權限 |
| AliyunOSSFullAccess | 管理對象存儲服務(OSS)權限 |
| AliyunOSSReadOnlyAccess | 隻讀訪問對象存儲服務(OSS)的權限 |
| AliyunOTSFullAccess | 管理表格存儲服務(OTS)的權限 |
| AliyunOTSReadOnlyAccess | 隻讀訪問表格存儲服務(OTS)的權限 |
| AliyunPTSFullAccess | 管理性能測試服務(PTS)的權限 |
| AliyunRAMFullAccess | 管理資源訪問管理服務(RAM)的權限,即管理用戶以及授權的權限 |
| AliyunRAMReadOnlyAccess | 隻讀訪問資源訪問管理服務(RAM)的權限,即查看用戶、組以及授權信息的權限 |
| AliyunRDSFullAccess | 管理雲數據庫服務(RDS)的權限 |
| AliyunRDSReadOnlyAccess | 隻讀訪問雲數據庫服務(RDS)的權限 |
| AliyunSLBFullAccess | 管理負載均衡服務的權限 |
| AliyunSLBReadOnlyAccess | 隻讀訪問負載均衡服務的權限 |
| AliyunSTSAssumeRoleAccess | 調用STS服務AssumeRole接口的權限 |
| AliyunSupportFullAccess | 管理工單係統的權限 |
| AliyunVPCFullAccess | 管理專有網絡(VPC)的權限 |
| AliyunVPCReadOnlyAccess | 隻讀訪問專有網絡(VPC)的權限 |
| AliyunYundunAegisFullAccess | 管理雲盾安騎士(Aegis)的權限 |
| AliyunYundunAFSFullAccess | 管理雲盾反欺詐(AFS)的權限 |
| AliyunYundunAPSFullAccess | 管理雲盾滲透測試(APS)的權限 |
| AliyunYundunCloudsFullAccess | 管理雲盾安全網絡(Clouds)的權限 |
| AliyunYundunDDosFullAccess | 管理雲盾DDos基礎防護(DDos)的權限 |
| AliyunYundunFlawSaleFullAccess | 管理雲盾補丁管理(FlawSale)的權限 |
| AliyunYundunFullAccess | 管理雲盾所有產品(Yundun)的權限 |
| AliyunYundunGreenWebFullAccess | 管理雲盾綠網(GreenWeb)的權限 |
| AliyunYundunHighFullAccess | 管理雲盾高防IP(High)的權限 |
| AliyunYundunHSMFullAccess | 管理雲盾密碼機(HSM)的權限 |
| AliyunYundunMSSFullAccess | 管理雲盾安全托管(MSS)的權限 |
| AliyunYundunSASFullAccess | 管理雲盾態勢感知(SAS)的權限 |
| AliyunYundunWAFFullAccess | 管理雲盾應用防火牆(WAF)的權限 |
| AliyunYundunXianzhiFullAccess | 管理雲盾先知計劃(Xianzhi)的權限 |
| ReadOnlyAccess | 隻讀訪問所有阿裏雲資源的權限 |
自定義授權策略
由於係統授權策略的授權粒度比較粗,如果這種粗粒度授權策略不能滿足您的需要,那麼您可以創建自定義授權策略。比如,你想控製對某個具體的ECS實例的操作權限,或者你要求訪問者的資源操作請求必須來自於指定的IP地址,你必須使用自定義授權策略才能滿足這種細粒度要求。
創建自定義授權策略
如果您有更細粒度的授權需求,比如授權用戶bob隻能對oss://sample_bucket/bob/下的所有對象執行隻讀操作、而且限製IP來源必須為您的公司網絡(可以通過搜索引擎查詢“我的IP”來獲知您的公司網絡IP地址),那麼您可以通過創建自定義授權策略來進行訪問控製。
在創建自定義授權策略時,您需要了解授權策略語言的基本結構和語法,相關內容的詳細描述請參考授權策略語言描述。
在了解授權策略語言之後,您通過RAM控製台可以很方便地創建滿足上述需求的自定義授權策略。
操作步驟:進入RAM控製台,選擇“授權策略管理”,選擇“自定義授權策略”,然後按如下步驟操作:
Step 1. 點擊“新建授權策略”,打開新建授權策略彈窗:
Step 2. 選擇一個模板(這裏選擇AliyunOSSReadOnlyAccess),我們可以基於這個模板進行Policy編輯,如下圖所示:
我們修改了自定義的授權策略名稱,備注和策略內容。上圖策略內容中的選中部分是我們新增的細粒度授權限製內容。
自定義策略樣例:
{"Version": "1","Statement": [{"Action": ["oss:Get*","oss:List*"],"Effect": "Allow","Resource": "acs:oss:*:*:samplebucket/bob/*","Condition": {"IpAddress": {"acs:SourceIp": "127.0.27.1"}}}]}
Step 3. 策略內容編輯完成後,點擊 “新建授權策略” 即可新建自定義授權策略。
如果將這個自定義的授權策略附加給用戶bob,那麼bob對oss://samplebucket/bob/下的對象有隻讀操作權限,但限製條件是必須從您的公司網絡(假設為121.0.27.1)進行訪問。
修改自定義授權策略
當用戶的權限發生變更時,比如新增或撤銷權限,你需要修改授權策略。當你修改授權策略時可能會遇到兩個問題:(1) 希望一段時間後,老的授權策略還能繼續使用;(2) 修改完成後,您發現授權策略修改錯了,需要回滾。
為了解決授權策略在使用中存在的問題,我們為授權策略提供了版本管理機製。您可以為一個授權策略保留多個版本。如果超出限製,您需要自主刪除不需要的版本。對於一個存在多版本的授權策略而言,隻有一個版本是活躍的,我們稱之為“默認版本”。
管理授權策略版本的方法:進入RAM控製台 -> 授權策略管理 -> 自定義授權策略 -> 選擇授權策略名稱 -> 在授權策略管理的頁麵,選擇版本管理。
刪除自定義授權策略
您可以創建多個自定義授權策略,每個策略也可以維護多個版本。當您不再需要自定義授權策略時,您應該將授權策略刪除。
當一個授權策略存在多個版本時,授權策略無法被刪除。您必須先刪除除默認版本之外的所有版本。當隻有唯一的默認版本時,授權策略才能被刪除。
刪除一個授權策略的方法:進入RAM控製台 -> 授權策略管理 -> 自定義授權策略 -> 選擇授權策略名稱,點擊“刪除”操作即可。
最後更新:2016-11-23 16:04:01
上一篇:
權限__授權管理_用戶指南_訪問控製-阿裏雲
下一篇: 給用戶授權__授權管理_用戶指南_訪問控製-阿裏雲
- 分片上傳__Android-SDK_SDK 參考_對象存儲 OSS-阿裏雲
- 賬戶充值__金融雲新手上路_金融雲-阿裏雲
- Gartner公布全球雲計算3A市場排位:阿裏雲超越Google緊追微軟
- 將API授權給多個APP__授權相關接口_API_API 網關-阿裏雲
- 合作夥伴賬號下找不到某域名的原因__渠道商下客戶問題_渠道合作夥伴_合作夥伴-阿裏雲
- 簡單路由-域名配置__服務發現和負載均衡_用戶指南_容器服務-阿裏雲
- 重啟獨享版雲虛擬主機(含輕雲服務器)__管理控製台_使用指南_雲虛機主機-阿裏雲
- 搜索水印模板__水印模板接口_API使用手冊_媒體轉碼-阿裏雲
- CreateLoadBalancerTCPListener__Listener相關API_API 參考_負載均衡-阿裏雲
- 查看監控信息__日誌和監控_用戶指南_容器服務-阿裏雲
相關內容
- 常見錯誤說明__附錄_大數據計算服務-阿裏雲
- 發送短信接口__API使用手冊_短信服務-阿裏雲
- 接口文檔__Android_安全組件教程_移動安全-阿裏雲
- 運營商錯誤碼(聯通)__常見問題_短信服務-阿裏雲
- 設置短信模板__使用手冊_短信服務-阿裏雲
- OSS 權限問題及排查__常見錯誤及排除_最佳實踐_對象存儲 OSS-阿裏雲
- 消息通知__操作指南_批量計算-阿裏雲
- 設備端快速接入(MQTT)__快速開始_阿裏雲物聯網套件-阿裏雲
- 查詢API調用流量數據__API管理相關接口_API_API 網關-阿裏雲
- 使用STS訪問__JavaScript-SDK_SDK 參考_對象存儲 OSS-阿裏雲