權(quán)限策略概覽
權(quán)限指在某種條件下允許或拒絕對某些資源執(zhí)行某些操作,權(quán)限策略是一組訪問權(quán)限的集合。
權(quán)限(Permission)
阿里云使用權(quán)限來描述RAM身份(RAM用戶、RAM用戶組、RAM角色)對具體資源的訪問能力,具體如下:
阿里云賬號(資源屬主)控制所有權(quán)限。
每個(gè)資源有且僅有一個(gè)資源屬主,該資源屬主必須是阿里云賬號,對資源擁有完全控制權(quán)限。
資源屬主不一定是資源創(chuàng)建者。例如:一個(gè)RAM身份被授予創(chuàng)建資源的權(quán)限,該RAM身份創(chuàng)建的資源歸屬于阿里云賬號,該RAM身份是資源創(chuàng)建者但不是資源屬主。
RAM身份(操作員)默認(rèn)無任何權(quán)限。
RAM身份代表的是操作員,其所有操作都需被阿里云賬號顯式授權(quán)。
新建的RAM身份默認(rèn)沒有任何操作權(quán)限,只有在被授權(quán)之后,才能通過控制臺(tái)和API操作資源。
權(quán)限策略(Policy)
權(quán)限策略是用語法結(jié)構(gòu)描述的一組權(quán)限的集合,可以精確地描述被授權(quán)的資源集、操作集以及授權(quán)條件。RAM支持的權(quán)限策略基本元素和語言規(guī)范,請參見權(quán)限策略基本元素和權(quán)限策略語法和結(jié)構(gòu)。
RAM支持以下兩種權(quán)限策略:
阿里云管理的系統(tǒng)權(quán)限策略:統(tǒng)一由阿里云創(chuàng)建,用戶只能使用,不能修改,策略的版本更新由阿里云維護(hù)。
用戶管理的自定義權(quán)限策略:用戶可以自主創(chuàng)建、更新和刪除,策略的版本更新由用戶自己維護(hù)。
通過為RAM身份綁定權(quán)限策略,可以獲得權(quán)限策略中指定的訪問權(quán)限。具體操作,請參見為RAM用戶授權(quán)、為RAM用戶組授權(quán)和為RAM角色授權(quán)。
為RAM身份授權(quán)
為RAM身份授權(quán),指為RAM用戶、RAM用戶組或RAM角色綁定一個(gè)或多個(gè)權(quán)限策略。
綁定的權(quán)限策略可以是系統(tǒng)策略也可以是自定義策略。
如果綁定的權(quán)限策略被更新,更新后的權(quán)限策略會(huì)自動(dòng)在RAM身份上生效,無需重新綁定權(quán)限策略。