RAM(Resource Access Management)是阿里云提供的管理用戶身份與資源訪問的服務。使用RAM,您可以創建、管理RAM用戶(例如員工、系統或應用程序),以及控制RAM用戶對資源的操作權限,例如限制您的RAM用戶只擁有對某一個文件系統的操作權限。
警告 授予RAM用戶對NAS文件系統的訪問控制權限時,請遵循最小授權原則,選擇合理的授權范圍。授權范圍過大有安全風險。
為RAM用戶授權的流程
- 創建RAM用戶。具體操作,請參見創建RAM用戶。
- 選擇需要授予RAM用戶的權限策略。權限策略分為系統策略和自定義策略。
- 系統策略:阿里云提供多種具有不同管理目的的默認權限策略。NAS常用的系統策略包括以下兩種:
- AliyunNASFullAccess(不推薦):為RAM用戶授予NAS文件系統的完全管理權限。該權限風險很高,不推薦使用。
- AliyunNASReadOnlyAccess:為RAM用戶授予NAS文件系統的只讀訪問權限。
- 自定義策略:自定義權限策略可以更大程度的滿足您的細粒度的要求,從而實現更靈活的權限管理。
您可以結合實際使用場景,并參照下文列舉的常見自定義策略示例,然后通過腳本配置方式創建自定義策略。具體操作,請參見創建自定義權限策略。
- 系統策略:阿里云提供多種具有不同管理目的的默認權限策略。NAS常用的系統策略包括以下兩種:
- 為RAM用戶授權。
示例一:授權RAM用戶對文件系統的權限
授予RAM用戶擁有對文件系統的完全控制權限
07d****294
為文件系統實例ID,請根據實際值替換。
說明 由于RAM不支持授予RAM用戶單一文件系統的查看權限,當要授予RAM用戶單一文件系統完全控制權限時,請您先授予RAM用戶全部文件系統的查看權限,然后再授予RAM用戶單一文件系統的操作(刪除、修改)權限。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "nas:*",
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
},
{
"Effect": "Allow",
"Action": "nas:CreateMountTarget",
"Resource": "acs:vpc:*:*:vswitch/*"
},
{
"Effect": "Allow",
"Action": "cms:Query*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "nas:DescribeFileSystems",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"nas:DescribeAccessGroups",
"nas:DescribeAccessRules"
],
"Resource": "acs:nas:*:*:accessgroup/*"
},
{
"Effect": "Allow",
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*"
}
]
}
授予RAM用戶修改文件系統屬性的權限
07d****294
為文件系統實例ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:DescribeFileSystems",
"nas:ModifyFileSystem"
],
"Resource": "acs:nas:*:*:filesystem/07d****294"
}],
"Version": "1"
}
授予RAM用戶查看所有文件系統的權限
{
"Statement": [{
"Effect": "Allow",
"Action": "nas:DescribeFileSystems",
"Resource": "*"
}],
"Version": "1"
}
示例二:授權RAM用戶對文件系統掛載點的權限
授予RAM用戶對文件系統(實例ID:
07d****294
)的掛載點擁有完全控制權限。{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateMountTarget",
"nas:DescribeMountTargets",
"nas:ModifyMountTarget",
"nas:DeleteMountTarget"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294",
"acs:vpc:*:*:vswitch/*"
]
}],
"Version": "1"
}
示例三:授權RAM用戶對文件系統權限組的權限
授予RAM用戶對所有文件系統權限組擁有完全控制權限。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateAccessGroup",
"nas:DescribeAccessGroups",
"nas:ModifyAccessGroup",
"nas:DeleteAccessGroup",
"nas:CreateAccessRule",
"nas:DescribeAccessRules",
"nas:ModifyAccessRule",
"nas:DeleteAccessRule"
],
"Resource": "acs:nas:*:*:accessgroup/*"
}],
"Version": "1"
}
示例四:授權RAM用戶查看文件系統性能監控指標的權限
授予RAM用戶通過控制臺查看任一文件系統性能監控指標的權限。
{
"Statement": [{
"Effect": "Allow",
"Action": "cms:Query*",
"Resource": "*"
}],
"Version": "1"
}
示例五:授權RAM用戶對文件系統回收站的管理權限
授予RAM用戶擁有對文件系統回收站完全控制的權限
07d****294
為文件系統實例ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:EnableRecycleBin",
"nas:DisableAndCleanRecycleBin ",
"nas:UpdateRecycleBinAttribute",
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinRestoreJob",
"nas:CreateRecycleBinDeleteJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}
授予RAM用戶恢復文件系統回收站中暫存文件的權限
07d****294
為文件系統實例ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinRestoreJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}
授予RAM用戶徹底刪除文件系統回收站中暫存文件的權限
07d****294
為文件系統實例ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinDeleteJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}
授予RAM用戶修改文件系統回收站配置的權限
07d****294
為文件系統實例ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:EnableRecycleBin",
"nas:UpdateRecycleBinAttribute",
"nas:DisableAndCleanRecycleBin",
"nas:GetRecycleBinAttribute"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}
附錄:自定義權限策略鑒權列表
您可以通過RAM控制臺創建一個自定義策略,當配置模式為腳本配置時,您需要根據JSON模板文件填寫策略內容。其中的Action和Resource參數取值請參見如下鑒權列表。更多信息,請參見權限策略基本元素。
API | Action | Resource | 說明 | |
---|---|---|---|---|
文件系統 | CreateFileSystem | nas:CreateFileSystem | acs:nas:<region>:<account-id>:filesystem/* | 創建文件系統。 |
DeleteFileSystem | nas:DeleteFileSystem | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 刪除文件系統。 | |
ModifyFileSystem | nas:ModifyFileSystem | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 修改文件系統配置。 | |
DescribeFileSystems | nas:DescribeFileSystems | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 列出文件系統實例。 | |
掛載點 | CreateMountTarget | nas:CreateMountTarget |
| 創建掛載點。 |
DeleteMountTarget | nas:DeleteMountTarget | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 刪除掛載點。 | |
ModifyMountTarget | nas:ModifyMountTarget | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 修改掛載點配置。 | |
DescribeMountTargets | nas:DescribeMountTargets | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 列出文件系統掛載點。 | |
權限組 | CreateAccessGroup | nas:CreateAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 創建權限組。 |
DeleteAccessGroup | nas:DeleteAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 刪除權限組。 | |
ModifyAccessGroup | nas:ModifyAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 修改權限組。 | |
DescribeAccessGroups | nas:DescribeAccessGroups | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 列出權限組。 | |
CreateAccessRule | nas:CreateAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 添加權限組規則。 | |
DeleteAccessRule | nas:DeleteAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 刪除權限組規則。 | |
ModifyAccessRule | nas:ModifyAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 修改權限組規則。 | |
DescribeAccessRule | nas:DescribeAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 列出權限組規則。 |