授權信息 - ActionTrail

存取控制（RAM）是阿里雲提供的系統管理使用者身份與資源存取權限的服務。使用 RAM 可以讓您避免與其他使用者共用阿里雲帳號密鑰，並可按需為使用者授予最小許可權。RAM 中使用權限原則描述授權的具體內容。

本文為您介紹為 RAM 權限原則定義的操作（Action）、資源（Resource）和條件（Condition）。的 RAM 代碼（RamCode）為 actiontrail ，支援的授權粒度為 OPERATION 。

權限原則通用結構

權限原則支援 JSON 格式，其通用結構如下：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}

各欄位含義如下：

Effect：權限原則效果。取值：Allow（允許）、Deny（拒絕）。
Action：授予允許或拒絕許可權的具體操作。具體資訊，請參見操作（Action）。
Resource：受操作影響的具體對象，您可以使用資源 ARN 來描述指定資源。具體資訊，請參見資源（Resource）。
Condition：指授權生效的條件。可選欄位。具體資訊，請參見條件（Condition）。
- Condition_operator：條件運算子，不同類型的條件對應不同的條件運算子。具體資訊，請參見權限原則基本元素。
- Condition_key：條件關鍵字。
- Condition_value：條件關鍵字對應的值。

操作（Action）

下表是定義的操作，這些操作可以在 RAM 權限原則語句的Action元素中使用，用來授予執行該操作的許可權。下面對錶中的具體項提供說明：

操作：是指具體的許可權點。
API：是指操作對應的 API 介面。
存取層級：是指每個操作的存取層級，取值為寫入（Write）、讀取（Read）或列出（List）。
資源類型：是指操作中支援授權的資源類型。具體說明如下：
- 對於必選的資源類型，用前面加 * 表示。
- 對於不支援資源級授權的操作，用全部資源表示。
條件關鍵字：是指雲產品自身定義的條件關鍵字。該列不體現適用於任何操作的通用條件關鍵字。
關聯操作：是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權，操作才能成功。

操作	API	存取層級	資源類型	條件關鍵字	關聯操作
actiontrail:GetAccessKeyLastUsedResources	GetAccessKeyLastUsedResources	list	All Resource ``	無	無
actiontrail:EnableInsight	EnableInsight	update	All Resource ``	無	無
actiontrail:ListDeliveryHistoryJobs	ListDeliveryHistoryJobs	get	HistoryDeliveryJob `acs:actiontrail:{#regionId}:{#accountId}:historydeliveryjob/`	無	無
actiontrail:GetGlobalEventsStorageRegion	GetGlobalEventsStorageRegion	get	ActionTrailVirtual `acs:actiontrail::{#accountId}:actiontrailvirtual/{#ActionTrailVirtualId}`	無	無
actiontrail:GetTrailStatus	GetTrailStatus	get	*Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/{#TrailName}`	無	無
actiontrail:CreateDeliveryHistoryJob	CreateDeliveryHistoryJob	create	HistoryDeliveryJob `acs:actiontrail:{#regionId}:{#accountId}:historydeliveryjob/`	無	無
actiontrail:GetGovernanceMetrics	GetGovernanceMetrics	get	All Resource ``	無	無
actiontrail:GetInsightsEventsCount	GetInsightsEventsCount	get	All Resource ``	無	無
actiontrail:UpdateTrail	UpdateTrail	update	*Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/{#TrailName}`	無	無
actiontrail:LookupInsightEvents	LookupInsightEvents	list	All Resource ``	無	無
actiontrail:StopLogging	StopLogging	update	*Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/{#TrailName}`	無	無
actiontrail:StartLogging	StartLogging	update	*Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/{#TrailName}`	無	無
actiontrail:DescribeUserLogCount	DescribeUserLogCount	none	All Resource ``	無	無
actiontrail:CreateTrail	CreateTrail	create	Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/`	無	無
actiontrail:ListDataEventServices	ListDataEventServices	get	All Resource ``	無	無
actiontrail:DescribeUserAlertCount	DescribeUserAlertCount	none	All Resource ``	無	無
actiontrail:CreateAdvancedQueryTemplate	CreateAdvancedQueryTemplate	create	AdvancedQueryTemplate `acs:actiontrail:{#regionId}:{#accountId}:advancedquerytemplate/`	無	無
actiontrail:PutDataEventSelector	PutDataEventSelector	create	*Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/{#TrailName}`	無	無
actiontrail:GetInsightSelectors	GetInsightSelectors	get	All Resource ``	無	無
actiontrail:DescribeAdvancedQueryTemplate	DescribeAdvancedQueryTemplate	list	AdvancedQueryTemplate `acs:actiontrail:{#regionId}:{#accountId}:advancedquerytemplate/`	無	無
actiontrail:DeleteAdvancedQueryTemplate	DeleteAdvancedQueryTemplate	delete	*AdvancedQueryTemplate `acs:actiontrail:{#regionId}:{#accountId}:advancedquerytemplate/{#TemplateId}`	無	無
actiontrail:GetAdvancedQueryTemplate	GetAdvancedQueryTemplate	get	*AdvancedQueryTemplate `acs:actiontrail:{#regionId}:{#accountId}:advancedquerytemplate/{#TemplateId}`	無	無
actiontrail:DescribeUserTrailCount	DescribeUserTrailCount	none	All Resource ``	無	無
actiontrail:DescribeScenes	DescribeScenes	list	All Resource ``	無	無
actiontrail:DescribeTrailDeliveryMetricData	DescribeTrailDeliveryMetricData	get	All Resource ``	無	無
actiontrail:ListDataEventSelectors	ListDataEventSelectors	get	Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/`	無	無
actiontrail:UpdateAdvancedQueryTemplate	UpdateAdvancedQueryTemplate	update	*AdvancedQueryTemplate `acs:actiontrail:{#regionId}:{#accountId}:advancedquerytemplate/{#TemplateId}`	無	無
actiontrail:DescribeAdvancedQueryHistory	DescribeAdvancedQueryHistory	list	All Resource ``	無	無
actiontrail:GetAccessKeyLastUsedProducts	GetAccessKeyLastUsedProducts	list	All Resource ``	無	無
actiontrail:GetDataEventSelector	GetDataEventSelector	get	*Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/{#TrailName}`	無	無
actiontrail:LookupEvents	LookupEvents	get	All Resource ``	無	無
actiontrail:DescribeResourceLifeCycleEvents	DescribeResourceLifeCycleEvents	list	All Resource ``	無	無
actiontrail:GetAccessKeyLastUsedIps	GetAccessKeyLastUsedIps	list	All Resource ``	無	無
actiontrail:GetDeliveryHistoryJob	GetDeliveryHistoryJob	get	*HistoryDeliveryJob `acs:actiontrail:{#regionId}:{#accountId}:historydeliveryjob/{#HistoryDeliveryJobId}`	無	無
actiontrail:DeleteDeliveryHistoryJob	DeleteDeliveryHistoryJob	delete	*HistoryDeliveryJob `acs:actiontrail:{#regionId}:{#accountId}:historydeliveryjob/{#HistoryDeliveryJobId}`	無	無
actiontrail:PutInsightSelectors	PutInsightSelectors	update	All Resource ``	無	無
actiontrail:GetAccessKeyLastUsedInfo	GetAccessKeyLastUsedInfo	get	All Resource ``	無	無
actiontrail:DescribeSearchTemplates	DescribeSearchTemplates	list	All Resource ``	無	無
actiontrail:GetAccessKeyLastUsedEvents	GetAccessKeyLastUsedEvents	list	All Resource ``	無	無
actiontrail:DeleteDataEventSelector	DeleteDataEventSelector	create	*Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/{#TrailName}`	無	無
actiontrail:DeleteAdvancedQueryHistory	DeleteAdvancedQueryHistory	delete	All Resource ``	無	無
actiontrail:DisableInsight	DisableInsight	none	All Resource ``	無	無
actiontrail:DescribeTrails	DescribeTrails	get	Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/`	無	無
actiontrail:CreateAdvancedQueryHistory	CreateAdvancedQueryHistory	create	All Resource ``	無	無
actiontrail:UpdateGlobalEventsStorageRegion	UpdateGlobalEventsStorageRegion	update	ActionTrailVirtual `acs:actiontrail::{#accountId}:actiontrailvirtual/{#ActionTrailVirtualId}`	無	無
actiontrail:DeleteTrail	DeleteTrail	delete	*Trail `acs:actiontrail:{#regionId}:{#accountId}:trail/{#TrailName}`	無	無
actiontrail:GetInsightTypes	GetInsightTypes	get	All Resource ``	無	無

資源（Resource）

下表是定義的資源，這些資源可以在 RAM 權限原則語句的Resource元素中使用，用來授予對該資源執行具體操作的許可權。其中，資源 ARN 是資源在阿里雲上的唯一標識。具體說明如下：

{#}為變數標識，需要您替換為實際值。例如：{#ramcode}需要您替換為實際的雲端服務RAM代碼。
*表示全部。例如：
- {#resourceType}為*時：表示全部資源。
- {#regionId}為*時：表示全部地區。
- {#accountId}為*時：表示全部阿里雲帳號。

資源類型	資源 ARN
HistoryDeliveryJob	acs:actiontrail:{#regionId}:{#accountId}:historydeliveryjob/* acs:actiontrail:{#regionId}:{#accountId}:historydeliveryjob/{#HistoryDeliveryJobId}
ActionTrailVirtual	acs:actiontrail:*:{#accountId}:actiontrailvirtual/{#ActionTrailVirtualId}
Trail	acs:actiontrail:{#regionId}:{#accountId}:trail/{#TrailName} acs:actiontrail:{#regionId}:{#accountId}:trail/*
AdvancedQueryTemplate	acs:actiontrail:{#regionId}:{#accountId}:advancedquerytemplate/* acs:actiontrail:{#regionId}:{#accountId}:advancedquerytemplate/{#TemplateId}

條件（Condition）

未定義產品層級的條件關鍵字。如需查看適用於所有雲產品的通用條件關鍵字，請參見通用條件關鍵字。

ActionTrail：授權信息

權限原則通用結構

操作（Action）

資源（Resource）

條件（Condition）

相關操作