全部產品
Search
文件中心

Object Storage Service:RAM策略編輯器

更新時間:Feb 28, 2024

本文介紹RAM策略編輯器的使用方法。

地址

RAM Policy Editor

使用

RAM授權策略由若干條規則群組成。使用RAM策略編輯器,可以在介面上逐條添加或刪除規則,並自動建置原則的JSON文本。添加所有規則後,只需要將JSON文本拷貝並粘貼到存取控制(RAM)控制台的建立授權策略內容框內即可使用。具體操作,請參見建立自訂權限原則

RAM策略編輯器中,每條規則需要設定其Effect、Actions、Resources和Conditions:

  • Effect

    指定這條規則是允許訪問(Allow)還是禁止訪問(Deny)。

  • Actions

    指定訪問資源的動作,可以選擇多項。一般來說使用者使用提供的通配動作就足夠了:

    • oss:*表示允許所有動作。

    • oss:Get*表示允許所有的讀動作。

    • oss:Put*表示允許所有的寫動作。

    更多資訊,請參見RAM Policy Editor README

  • Resources

    指定授權訪問的OSS的資源,可以指定多個。Resources常見情境如下:

    • 表示某個Bucket:my-bucket (此時對bucket下的檔案沒有許可權)

    • 表示某個Bucket下面所有檔案:my-bucket/* (此時對bucket本身沒有許可權,例如ListObjects)

    • 表示某個Bucket下某個目錄:my-bucket/dir (此時對dir/下面的檔案沒有許可權)

    • 表示某個Bucket下某個目錄下面所有檔案:my-bucket/dir/* (此時對dir沒有許可權,例如ListObjects)

    • 填寫完整的資源路徑:acs:oss:*:174649585760xxxx:my-bucket/dir,其中174649585760xxxx為使用者的UID(可在控制台查看)

  • EnablePath

    當您需要對某個目錄授權時,往往還需要保證對上一層目錄也有List許可權,例如對my-bucket/users/dir/*賦予讀寫權限,為了在控制台(或其他工具)能夠查看這個目錄,還需要以下許可權:

    ListObjects my-bucket
    ListObjects my-bucket/users
    ListObjects my-bucket/users/dir

    勾選EnablePath選項時,會自動添加以上許可權。

  • Conditions

    指定授權訪問時應該滿足的條件,可以指定多個。

樣本

授權對my-bucket及其檔案所有許可權樣本如下: