192
授权策略管理__授权管理_用户指南_访问控制-阿里云
授权策略是一组权限的集合,它以一种策略语言来描述。关于授权策略语言的详细描述,请参考附录中的授权策略语言章节。通过给用户或群组附加授权策略,用户或群组中的所有用户就能获得授权策略中指定的访问权限。
我们支持两种类型的授权策略:系统授权策略和客户自定义授权策略。
系统授权策略
系统授权策略是阿里云提供的一组通用授权策略,主要针对不同产品的只读权限或所有权限。对于阿里云提供的这组授权策略,用户只能用于授权,而不能编辑和修改。对于这些系统授权策略,阿里云会自动进行更新或修改。
如果要查看阿里云支持的所有系统授权策略,请登录RAM控制台 -> 进入授权策略管理页面,用户就可以看到所有的系统授权策略列表.
RAM支持的系统授权策略列表如下:
| 系统授权策略名称 | 所包含的权限注解 |
|---|---|
| AdministratorAccess | 管理所有阿里云资源的权限 |
| AliyunActionTrailFullAccess | 管理操作审计(ActionTrail)的权限 |
| AliyunActionTrailReadOnlyAccess | 只读访问操作审计(ActionTrail)的权限 |
| AliyunBatchComputeFullAccess | 管理批量计算服务(BatchCompute)的权限 |
| AliyunBSSFullAccess | 管理费用中心(BSS)的权限 |
| AliyunBSSOrderAccess | 在费用中心(BSS)查看订单、支付订单及取消订单的权限 |
| AliyunBSSReadOnlyAccess | 只读访问费用中心(BSS)的权限 |
| AliyunCDNFullAccess | 管理CDN的权限 |
| AliyunCDNReadOnlyAccess | 只读访问CDN的权限 |
| AliyunCloudMonitorFullAccess | 管理云监控(CloudMonitor)的权限 |
| AliyunCloudMonitorReadOnlyAccess | 只读访问云监控(CloudMonitor)的权限 |
| AliyunDirectMailFullAccess | 管理邮件推送(DirectMail)的权限 |
| AliyunDirectMailReadOnlyAccess | 只读访问邮件推送(DirectMail)的权限 |
| AliyunECSFullAccess | 管理云服务器服务(ECS)的权限 |
| AliyunECSReadOnlyAccess | 只读访问云服务器服务(ECS)的权限 |
| AliyunEIPFullAccess | 管理弹性公网IP(EIP)的权限 |
| AliyunEIPReadOnlyAccess | 只读访问弹性公网IP(EIP)的权限 |
| AliyunEMRFullAccess | 管理E-MapReduce的权限 |
| AliyunKvstoreFullAccess | 管理云数据库Redis版(Kvstore)的权限 |
| AliyunKvstoreReadOnlyAccess | 只读访问云数据库Redis版(Kvstore)的权限 |
| AliyunLogFullAccess | 管理日志服务(Log)的权限 |
| AliyunLogReadOnlyAccess | 只读访问日志服务(Log)的权限 |
| AliyunMNSFullAccess | 管理消息服务(MNS)的权限 |
| AliyunMNSReadOnlyAccess | 只读访问消息服务(MNS)的权限 |
| AliyunMTSFullAccess | 管理媒体转码服务的权限 |
| AliyunOCSFullAccess | 管理云数据库Memcache版(OCS)的权限 |
| AliyunOCSReadOnlyAccess | 只读访问云数据库Memcache版(OCS)的权限 |
| AliyunOSSFullAccess | 管理对象存储服务(OSS)权限 |
| AliyunOSSReadOnlyAccess | 只读访问对象存储服务(OSS)的权限 |
| AliyunOTSFullAccess | 管理表格存储服务(OTS)的权限 |
| AliyunOTSReadOnlyAccess | 只读访问表格存储服务(OTS)的权限 |
| AliyunPTSFullAccess | 管理性能测试服务(PTS)的权限 |
| AliyunRAMFullAccess | 管理资源访问管理服务(RAM)的权限,即管理用户以及授权的权限 |
| AliyunRAMReadOnlyAccess | 只读访问资源访问管理服务(RAM)的权限,即查看用户、组以及授权信息的权限 |
| AliyunRDSFullAccess | 管理云数据库服务(RDS)的权限 |
| AliyunRDSReadOnlyAccess | 只读访问云数据库服务(RDS)的权限 |
| AliyunSLBFullAccess | 管理负载均衡服务的权限 |
| AliyunSLBReadOnlyAccess | 只读访问负载均衡服务的权限 |
| AliyunSTSAssumeRoleAccess | 调用STS服务AssumeRole接口的权限 |
| AliyunSupportFullAccess | 管理工单系统的权限 |
| AliyunVPCFullAccess | 管理专有网络(VPC)的权限 |
| AliyunVPCReadOnlyAccess | 只读访问专有网络(VPC)的权限 |
| AliyunYundunAegisFullAccess | 管理云盾安骑士(Aegis)的权限 |
| AliyunYundunAFSFullAccess | 管理云盾反欺诈(AFS)的权限 |
| AliyunYundunAPSFullAccess | 管理云盾渗透测试(APS)的权限 |
| AliyunYundunCloudsFullAccess | 管理云盾安全网络(Clouds)的权限 |
| AliyunYundunDDosFullAccess | 管理云盾DDos基础防护(DDos)的权限 |
| AliyunYundunFlawSaleFullAccess | 管理云盾补丁管理(FlawSale)的权限 |
| AliyunYundunFullAccess | 管理云盾所有产品(Yundun)的权限 |
| AliyunYundunGreenWebFullAccess | 管理云盾绿网(GreenWeb)的权限 |
| AliyunYundunHighFullAccess | 管理云盾高防IP(High)的权限 |
| AliyunYundunHSMFullAccess | 管理云盾密码机(HSM)的权限 |
| AliyunYundunMSSFullAccess | 管理云盾安全托管(MSS)的权限 |
| AliyunYundunSASFullAccess | 管理云盾态势感知(SAS)的权限 |
| AliyunYundunWAFFullAccess | 管理云盾应用防火墙(WAF)的权限 |
| AliyunYundunXianzhiFullAccess | 管理云盾先知计划(Xianzhi)的权限 |
| ReadOnlyAccess | 只读访问所有阿里云资源的权限 |
自定义授权策略
由于系统授权策略的授权粒度比较粗,如果这种粗粒度授权策略不能满足您的需要,那么您可以创建自定义授权策略。比如,你想控制对某个具体的ECS实例的操作权限,或者你要求访问者的资源操作请求必须来自于指定的IP地址,你必须使用自定义授权策略才能满足这种细粒度要求。
创建自定义授权策略
如果您有更细粒度的授权需求,比如授权用户bob只能对oss://sample_bucket/bob/下的所有对象执行只读操作、而且限制IP来源必须为您的公司网络(可以通过搜索引擎查询“我的IP”来获知您的公司网络IP地址),那么您可以通过创建自定义授权策略来进行访问控制。
在创建自定义授权策略时,您需要了解授权策略语言的基本结构和语法,相关内容的详细描述请参考授权策略语言描述。
在了解授权策略语言之后,您通过RAM控制台可以很方便地创建满足上述需求的自定义授权策略。
操作步骤:进入RAM控制台,选择“授权策略管理”,选择“自定义授权策略”,然后按如下步骤操作:
Step 1. 点击“新建授权策略”,打开新建授权策略弹窗:
Step 2. 选择一个模板(这里选择AliyunOSSReadOnlyAccess),我们可以基于这个模板进行Policy编辑,如下图所示:
我们修改了自定义的授权策略名称,备注和策略内容。上图策略内容中的选中部分是我们新增的细粒度授权限制内容。
自定义策略样例:
{"Version": "1","Statement": [{"Action": ["oss:Get*","oss:List*"],"Effect": "Allow","Resource": "acs:oss:*:*:samplebucket/bob/*","Condition": {"IpAddress": {"acs:SourceIp": "127.0.27.1"}}}]}
Step 3. 策略内容编辑完成后,点击 “新建授权策略” 即可新建自定义授权策略。
如果将这个自定义的授权策略附加给用户bob,那么bob对oss://samplebucket/bob/下的对象有只读操作权限,但限制条件是必须从您的公司网络(假设为121.0.27.1)进行访问。
修改自定义授权策略
当用户的权限发生变更时,比如新增或撤销权限,你需要修改授权策略。当你修改授权策略时可能会遇到两个问题:(1) 希望一段时间后,老的授权策略还能继续使用;(2) 修改完成后,您发现授权策略修改错了,需要回滚。
为了解决授权策略在使用中存在的问题,我们为授权策略提供了版本管理机制。您可以为一个授权策略保留多个版本。如果超出限制,您需要自主删除不需要的版本。对于一个存在多版本的授权策略而言,只有一个版本是活跃的,我们称之为“默认版本”。
管理授权策略版本的方法:进入RAM控制台 -> 授权策略管理 -> 自定义授权策略 -> 选择授权策略名称 -> 在授权策略管理的页面,选择版本管理。
删除自定义授权策略
您可以创建多个自定义授权策略,每个策略也可以维护多个版本。当您不再需要自定义授权策略时,您应该将授权策略删除。
当一个授权策略存在多个版本时,授权策略无法被删除。您必须先删除除默认版本之外的所有版本。当只有唯一的默认版本时,授权策略才能被删除。
删除一个授权策略的方法:进入RAM控制台 -> 授权策略管理 -> 自定义授权策略 -> 选择授权策略名称,点击“删除”操作即可。
最后更新:2016-11-23 16:04:01
上一篇:
权限__授权管理_用户指南_访问控制-阿里云
下一篇: 给用户授权__授权管理_用户指南_访问控制-阿里云
- 分片上传__Android-SDK_SDK 参考_对象存储 OSS-阿里云
- 账户充值__金融云新手上路_金融云-阿里云
- Gartner公布全球云计算3A市场排位:阿里云超越Google紧追微软
- 将API授权给多个APP__授权相关接口_API_API 网关-阿里云
- 合作伙伴账号下找不到某域名的原因__渠道商下客户问题_渠道合作伙伴_合作伙伴-阿里云
- 简单路由-域名配置__服务发现和负载均衡_用户指南_容器服务-阿里云
- 重启独享版云虚拟主机(含轻云服务器)__管理控制台_使用指南_云虚机主机-阿里云
- 搜索水印模板__水印模板接口_API使用手册_媒体转码-阿里云
- CreateLoadBalancerTCPListener__Listener相关API_API 参考_负载均衡-阿里云
- 查看监控信息__日志和监控_用户指南_容器服务-阿里云
相关内容
- 常见错误说明__附录_大数据计算服务-阿里云
- 发送短信接口__API使用手册_短信服务-阿里云
- 接口文档__Android_安全组件教程_移动安全-阿里云
- 运营商错误码(联通)__常见问题_短信服务-阿里云
- 设置短信模板__使用手册_短信服务-阿里云
- OSS 权限问题及排查__常见错误及排除_最佳实践_对象存储 OSS-阿里云
- 消息通知__操作指南_批量计算-阿里云
- 设备端快速接入(MQTT)__快速开始_阿里云物联网套件-阿里云
- 查询API调用流量数据__API管理相关接口_API_API 网关-阿里云
- 使用STS访问__JavaScript-SDK_SDK 参考_对象存储 OSS-阿里云