Otorisasi RAM - Direct Mail - Alibaba Cloud Documentation Center

Resource Access Management (RAM) adalah layanan Alibaba Cloud yang dirancang untuk manajemen identitas pengguna dan kontrol izin akses resource. Melalui RAM, Anda dapat menerapkan prinsip least privilege tanpa perlu membagikan kunci akun Alibaba Cloud Anda kepada pengguna lain. RAM menggunakan kebijakan izin untuk menentukan otorisasi. Topik ini menjelaskan struktur umum kebijakan RAM, serta elemen pernyataan kebijakan (Action, Resource, dan Condition) yang didefinisikan oleh 邮件推送 untuk kebijakan izin RAM. Kode RAM (RamCode) untuk 邮件推送 adalah dm , dan granularitas otorisasi yang didukung adalah 操作级 .

Struktur umum kebijakan

Kebijakan izin menggunakan format JSON dengan struktur umum berikut:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}

Berikut adalah penjelasan untuk setiap field dalam kebijakan

Version: Menentukan nomor versi kebijakan. Nilainya tetap 1.
Statement:
- Effect: Menentukan hasil otorisasi. Nilai yang valid: Allow dan Deny.
- Action: Menentukan satu atau beberapa operasi yang diizinkan atau ditolak.
- Resource: Menentukan objek spesifik yang terpengaruh oleh operasi tersebut. Anda dapat menggunakan Alibaba Cloud Resource Names (ARNs) untuk mengidentifikasi resource tertentu.
- Condition: Menentukan kondisi agar otorisasi berlaku. Field ini bersifat opsional.
  - Condition operator: Menentukan operator kondisional. Setiap jenis kondisi mendukung operator kondisional yang berbeda.
  - Condition_key: Menentukan condition key.
  - Condition_value: Menentukan nilai kondisi.

Action

Tabel berikut mencantumkan action yang didefinisikan oleh 邮件推送. Setiap kolom dalam tabel dijelaskan sebagai berikut:

Action: Dapat digunakan dalam elemen Action pada pernyataan kebijakan RAM untuk memberikan izin guna melakukan operasi tersebut.
API: API yang dipanggil untuk melakukan action tersebut.
Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.
Resource type: Jenis resource yang mendukung otorisasi untuk melakukan action tersebut. Ini menunjukkan apakah action tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan action tersebut; jika tidak, kebijakan tidak akan berlaku.
- Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan ARN yang sesuai dalam elemen Resource pada kebijakan.
- Untuk API tanpa izin tingkat resource, ini ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource kebijakan.
Condition key: Ditentukan oleh layanan. Kunci ini memungkinkan kontrol yang lebih terperinci, yang berlaku baik untuk action saja maupun untuk action yang terkait dengan resource tertentu. Selain condition key spesifik layanan, Alibaba Cloud menyediakan serangkaian condition key umum yang berlaku di seluruh layanan yang terintegrasi dengan RAM. Untuk informasi lebih lanjut, lihat Common condition keys.
Dependent action: Action dependen yang diperlukan untuk menjalankan action tersebut. Agar action dapat dieksekusi dengan sukses, RAM user atau RAM role harus memiliki izin atas semua action dependen tersebut.

Action	API	Level akses	Tipe resource	Condition key	Action dependen
dm:DedicatedIpAutoRenewal	DedicatedIpAutoRenewal	update	全部资源 ``	None	None
dm:DedicatedIpPoolUpdate	DedicatedIpPoolUpdate	update	全部资源 ``	None	None
dm:QueryInvalidAddress	QueryInvalidAddress	get	全部资源 ``	None	None
dm:SaveReceiverDetail	SaveReceiverDetail	create	全部资源 ``	None	None
dm:SingleSendMail	SingleSendMail	none	全部资源 ``	None	None
dm:ConfigSetDelete	ConfigSetDelete	delete	全部资源 ``	None	None
dm:BatchSendMail	BatchSendMail	none	全部资源 ``	None	None
dm:GetUser	GetUser	none	全部资源 ``	None	None
dm:GetIpProtection	GetIpProtection	get	全部资源 ``	None	None
dm:DedicatedIpPoolCreate	DedicatedIpPoolCreate	create	全部资源 ``	None	None
dm:DeleteDomain	DeleteDomain	delete	全部资源 ``	None	None
dm:DedicatedIpNonePoolList	DedicatedIpNonePoolList	none	全部资源 ``	None	None
dm:DedicatedIpPoolList	DedicatedIpPoolList	none	全部资源 ``	None	None
dm:DeleteValidateFile	DeleteValidateFile	delete	全部资源 ``	None	None
dm:ConfigSetUpdate	ConfigSetUpdate	update	全部资源 ``	None	None
dm:ConfigSetCancelRelationFromAddress	ConfigSetCancelRelationFromAddress	update	全部资源 ``	None	None
dm:QueryDomainByParam	QueryDomainByParam	get	全部资源 ``	None	None
dm:DedicatedIpPoolDelete	DedicatedIpPoolDelete	none	全部资源 ``	None	None
dm:DeleteInvalidAddress	DeleteInvalidAddress		全部资源 ``	None	None
dm:CheckDomain	CheckDomain		全部资源 ``	None	None
dm:QueryTagByParam	QueryTagByParam	get	全部资源 ``	None	None
dm:QueryMailAddressByParam	QueryMailAddressByParam	get	全部资源 ``	None	None
dm:DescTemplate	DescTemplate	get	全部资源 ``	None	None
dm:GetValidateFile	GetValidateFile	get	全部资源 ``	None	None
dm:CreateReceiver	CreateReceiver	create	全部资源 ``	None	None
dm:QueryReceiverDetail	QueryReceiverDetail	get	全部资源 ``	None	None
dm:SendTestByTemplate	SendTestByTemplate	get	全部资源 ``	None	None
dm:GetIpfilterList	GetIpfilterList	get	全部资源 ``	None	None
dm:ConfigSetDetail	ConfigSetDetail	none	全部资源 ``	None	None
dm:GetTrackListByMailFromAndTagName	GetTrackListByMailFromAndTagName	list	全部资源 ``	None	None
dm:RemoveUserSuppression	RemoveUserSuppression	delete	全部资源 ``	None	None
dm:ListBlockSending	ListBlockSending	list	全部资源 ``	None	None
dm:SendValidateFile	SendValidateFile	create	全部资源 ``	None	None
dm:CheckReplyToMailAddress	CheckReplyToMailAddress		全部资源 ``	None	None
dm:ApproveReplyMailAddress	ApproveReplyMailAddress		全部资源 ``	None	None
dm:DedicatedIpChangeWarmupType	DedicatedIpChangeWarmupType	update	全部资源 ``	None	None
dm:GetValidateFileStatus	GetValidateFileStatus	get	全部资源 ``	None	None
dm:AddIpfilter	AddIpfilter	create	全部资源 ``	None	None
dm:DeleteIpfilterByEdmId	DeleteIpfilterByEdmId	delete	全部资源 ``	None	None
dm:ListUserSuppression	ListUserSuppression	list	全部资源 ``	None	None
dm:UpdateIpProtection	UpdateIpProtection	update	全部资源 ``	None	None
dm:CreateDomain	CreateDomain	create	全部资源 ``	None	None
dm:ConfigSetCreate	ConfigSetCreate	create	全部资源 ``	None	None
dm:GetValidationQuota	GetValidationQuota	get	全部资源 ``	None	None
dm:ListValidateFile	ListValidateFile	get	全部资源 ``	None	None
dm:DescAccountSummary	DescAccountSummary	get	全部资源 ``	None	None
dm:SenderStatisticsDetailByParam	SenderStatisticsDetailByParam	list	全部资源 ``	None	None
dm:DeleteReceiverDetail	DeleteReceiverDetail	delete	全部资源 ``	None	None
dm:ValidateEmail	ValidateEmail	none	全部资源 ``	None	None
dm:CreateTag	CreateTag	create	全部资源 ``	None	None
dm:QueryTaskByParam	QueryTaskByParam	get	全部资源 ``	None	None
dm:ModifyPWByDomain	ModifyPWByDomain	update	全部资源 ``	None	None
dm:SenderStatisticsByTagNameAndBatchID	SenderStatisticsByTagNameAndBatchID	list	全部资源 ``	None	None
dm:CreateUserSuppression	CreateUserSuppression	create	全部资源 ``	None	None
dm:UnblockSending	UnblockSending	delete	全部资源 ``	None	None
dm:DeleteReceiver	DeleteReceiver	delete	全部资源 ``	None	None
dm:DescDomain	DescDomain	get	全部资源 ``	None	None
dm:QueryReceiverByParam	QueryReceiverByParam	get	全部资源 ``	None	None
dm:UpdateUser	UpdateUser	none	全部资源 ``	None	None
dm:DeleteMailAddress	DeleteMailAddress	delete	全部资源 ``	None	None
dm:ConfigSetRelationFromAddress	ConfigSetRelationFromAddress	create	全部资源 ``	None	None
dm:QueryTemplateByParam	QueryTemplateByParam	get	全部资源 ``	None	None
dm:GetTrackList	GetTrackList	list	全部资源 ``	None	None
dm:DedicatedIpList	DedicatedIpList	none	全部资源 ``	None	None
dm:CreateMailAddress	CreateMailAddress	create	全部资源 ``	None	None
dm:DeleteTag	DeleteTag	delete	全部资源 ``	None	None
dm:ConfigSetList	ConfigSetList	none	全部资源 ``	None	None
dm:ModifyTag	ModifyTag	update	全部资源 ``	None	None
dm:ModifyMailAddress	ModifyMailAddress	update	全部资源 ``	None	None

Resource

Tabel berikut mencantumkan resource yang ditentukan oleh 邮件推送. Tentukan resource tersebut dalam elemen Resource pada pernyataan kebijakan RAM untuk memberikan izin terhadap operasi tertentu. Resource tersebut diidentifikasi secara unik menggunakan ARN dengan format: acs:{#ramcode}:{#regionId}:{#accountId}:{#resourceType}:

acs: Singkatan dari Alibaba Cloud service, yang menunjukkan cloud publik Alibaba Cloud.
{#ramcode}: Kode yang digunakan dalam RAM untuk menunjukkan layanan Alibaba Cloud.
{#regionId}: region ID. Jika resource mencakup semua wilayah, atur nilainya menjadi tanda bintang (*).
{#accountId}: ID akun Alibaba Cloud. Jika resource mencakup semua akun Alibaba Cloud, atur nilainya menjadi tanda bintang (*).
{#resourceType}: Identifier resource yang ditentukan oleh layanan. Mendukung struktur hierarkis, mirip dengan path file. Jika pernyataan mencakup resource global, atur nilainya menjadi tanda bintang (*).

Tipe resource

ARN

Condition

邮件推送 tidak mendefinisikan condition key tingkat produk. Namun, Anda dapat menggunakan condition key umum Alibaba Cloud untuk kontrol akses. Untuk informasi lebih lanjut, lihat Common condition keys.

Cara membuat kebijakan RAM kustom?

Anda dapat membuat kebijakan kustom dan memberikannya kepada RAM user, RAM user group, atau RAM role. Untuk caranya, lihat: