地址

RAM Policy Editor

使用

RAM授權策略由若干條規則群組成,使用RAM策略編輯器,可以在介面上逐條添加/刪除規則,並自動建置原則的JSON文本。用戶添加完所有規則後,只需要將JSON文本拷貝,然後粘貼到存取控制(RAM)控制台的建立授權策略內容框內。

具體操作請參見建立自訂授權策略

RAM策略編輯器中,每條規則需要設定其Effect、Actions、Resources和Conditions:

  • Effect

    指定這條規則是允許訪問(Allow)還是禁止訪問(Deny)。

  • Actions

    指定訪問資源的動作,可以選擇多項。一般來說用戶使用提供的通配動作就足夠了:

    • oss:*表示允許所有動作。
    • oss:Get*表示允許所有的讀動作。
    • oss:Put*表示允許所有的寫動作。

    更多資訊請參見RAM Policy Editor README

  • Resources

    指定授權訪問的OSS的資源,可以指定多個,每個是以下形式:

    • 表示某個bucket:my-bucket (此時對bucket下的檔案沒有許可權)
    • 表示某個bucket下面所有檔案:my-bucket/* (此時對bucket本身沒有許可權,例如ListObjects)
    • 表示某個bucket下某個目錄:my-bucket/dir (此時對dir/下面的檔案沒有許可權)
    • 表示某個bucket下某個目錄下面所有檔案:my-bucket/dir/* (此時對dir沒有許可權,例如ListObjects)
    • 填寫完整的資源路徑:acs:oss:*:1234:my-bucket/dir,其中1234為用戶的User ID(在控制台查看)

    EnablePath

    當用戶需要對某個目錄授權時,往往還需要保證對上一層目錄也有List許可權,例如用戶對my-bucket/users/dir/*賦予讀寫權限,為了在控制台(或其他工具)能夠查看這個目錄,用戶還需要以下許可權:
    ListObjects my-bucket
    ListObjects my-bucket/users
    ListObjects my-bucket/users/dir

    勾選EnablePath選項時,上面這些許可權會自動添加。

  • Conditions

    指定授權訪問時應該滿足的條件,可以指定多個。

例子

授權對my-bucket及其檔案全部的許可權:



更多例子請參見RAM Policy Editor