908      windows

權限__授權管理_用戶指南_訪問控製-阿裏雲

權限是允許(Allow)或拒絕(Deny)在某種條件下、對某些資源執行某些操作。

主帳號（資源Owner）控製所有權限

每個資源有且僅有一個屬主（資源Owner），屬主必須是雲帳號，是對資源付費的人，對資源擁有完全控製權限。資源屬主不一定是資源創建者。比如，一個RAM用戶被授予創建資源的權限，該用戶創建的資源歸屬於主帳號，該用戶是資源創建者但不是資源屬主。

RAM用戶（操作員）默認無任何權限

RAM用戶代表的是操作員，其所有操作都需被顯式授權，新建RAM用戶默認沒有任何操作權限，隻有在被授權之後，才能通過控製台和API操作資源。

資源創建者（RAM用戶）不會自動擁有對所創建資源的任何權限

如果RAM用戶被授予創建資源的權限，用戶將可以創建資源，但不會自動擁有對所創建資源的任何權限，除非資源Owner對他有顯式的授權。

訪問策略

訪問策略（Policy）是用訪問策略語言所描述的一組權限，它可以精確的描述被授權的資源集、操作集以及授權條件。當授權策略中既有Allow又有Deny的授權語句時，我們遵循Deny優先的原則。

在RAM中，訪問策略是一種資源實體，用戶可以創建、更新、刪除和查看訪問策略。RAM支持兩種類型的授權策略：係統訪問策略和自定義訪問策略。係統訪問策略是由阿裏雲創建和管理的一組常用的權限集，比如對ECS的隻讀權限、對ECS的完全權限等，用戶隻能使用而不能修改。自定義訪問策略由客戶自己創建和管理，它是對係統訪問策略的擴展和補充。係統訪問策略所描述的權限粒度較粗，如果用戶需要更精細的授權描述，比如精確控製對某個ECS實例的權限或添加授權條件限製，則需要用戶創建自定義授權策略。

給RAM用戶授權

給RAM用戶授權的方法是給用戶或用戶組綁定一個或多個授權策略。綁定的授權策略可以是係統授權策略也可以是自定義授權策略。如果綁定的授權策略被更新，更新後的授權策略自動生效，無需重新綁定授權策略。

最後更新：2016-11-23 16:04:01

  上一篇： 角色__身份管理_用戶指南_訪問控製-阿裏雲

  下一篇： 授權策略管理__授權管理_用戶指南_訪問控製-阿裏雲