許可權指在某種條件下允許或拒絕對某些資源執行某些操作,權限原則是一組存取權限的集合。
許可權(Permission)
阿里雲使用許可權來描述使用者、使用者組、角色對具體資源的訪問能力,下面為您介紹雲帳號、RAM使用者、資源建立者所擁有的許可權:
- 雲帳號(資源屬主)控制所有許可權。
- 每個資源有且僅有一個資源屬主,該資源屬主必須是雲帳號,對資源擁有完全控制許可權。
- 資源屬主不一定是資源建立者。例如:一個RAM使用者被授予建立資源的許可權,該使用者建立的資源歸屬於雲帳號,該使用者是資源建立者但不是資源屬主。
- RAM使用者(操作員)預設無任何許可權。
- RAM使用者代表的是操作員,其所有操作都需被雲帳號顯式授權。
- 建立的RAM使用者預設沒有任何操作許可權,只有在被授權之後,才能通過控制台和RAM操作資源。
- 資源建立者(RAM使用者)預設對所建立資源沒有任何許可權。
- RAM使用者被授予建立資源的許可權,使用者將可以建立資源。
- RAM使用者預設對所建立資源沒有任何許可權,除非資源屬主對RAM使用者有顯式的授權。
權限原則(Policy)
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。RAM支援的權限原則基本元素和語言規範,請參見權限原則基本元素和權限原則文法和結構。
RAM支援以下兩種權限原則:
- 阿里雲管理的系統策略:統一由阿里雲建立,使用者只能使用不能修改,策略的版本更新由阿里雲維護。
- 客戶管理的自訂策略:使用者可以自主建立、更新和刪除,策略的版本更新由客戶自己維護。
通過為RAM使用者、使用者組或RAM角色綁定權限原則,可以獲得權限原則中指定的存取權限。詳情請參見為RAM使用者授權、為使用者組授權和為RAM角色授權。
為RAM主體綁定權限原則
為RAM主體授權,指為使用者、使用者組或角色綁定一個或多個權限原則。
- 綁定的權限原則可以是系統策略也可以是自訂策略。
- 如果綁定的權限原則被更新,更新後的權限原則自動生效,無需重新綁定權限原則。