概述

訪問控制RAM使用權(quán)限來描述用戶、用戶組、角色對(duì)具體資源的訪問能力，權(quán)限策略是一組訪問權(quán)限的集合。RAM用戶、用戶組或RAM角色通過綁定權(quán)限策略，可以獲得權(quán)限策略中指定的訪問權(quán)限。

權(quán)限

云賬號(hào)、RAM用戶、資源創(chuàng)建者所擁有的權(quán)限說明如下：

• 云賬號(hào)（資源屬主）控制所有權(quán)限。
  • 每個(gè)資源有且僅有一個(gè)資源屬主，該資源屬主必須是云賬號(hào)，對(duì)資源擁有完全控制權(quán)限。
  • 資源屬主不一定是資源創(chuàng)建者。例如：一個(gè)RAM用戶被授予創(chuàng)建資源的權(quán)限，該用戶創(chuàng)建的資源歸屬于云賬號(hào)，該用戶是資源創(chuàng)建者但不是資源屬主。
• RAM用戶（操作員）默認(rèn)無任何權(quán)限。
  • RAM用戶代表的是操作員，其所有操作都需被云賬號(hào)顯式授權(quán)。
  • 新建的RAM用戶默認(rèn)沒有任何操作權(quán)限，只有在被授權(quán)之后，才能通過控制臺(tái)和RAM操作資源。
• 資源創(chuàng)建者（RAM用戶）默認(rèn)對(duì)所創(chuàng)建資源沒有任何權(quán)限。
  • RAM用戶被授予創(chuàng)建資源的權(quán)限，用戶將可以創(chuàng)建資源。
  • RAM用戶默認(rèn)對(duì)所創(chuàng)建資源沒有任何權(quán)限，除非資源屬主對(duì)RAM用戶有顯式的授權(quán)。

權(quán)限策略

權(quán)限策略是用語法結(jié)構(gòu)描述的一組權(quán)限的集合，可以精確地描述被授權(quán)的資源集、操作集以及授權(quán)條件。

RAM支持以下兩種權(quán)限策略：

• 系統(tǒng)策略：統(tǒng)一由阿里云創(chuàng)建，您只能使用不能修改，策略的版本更新由阿里云維護(hù)。云原生數(shù)據(jù)倉庫 AnalyticDB PostgreSQL 版的系統(tǒng)策略，請(qǐng)參見云原生數(shù)據(jù)倉庫 AnalyticDB PostgreSQL版系統(tǒng)權(quán)限策略參考。

• 自定義策略：如果系統(tǒng)策略不能滿足您的要求，您可以創(chuàng)建自定義策略實(shí)現(xiàn)精細(xì)化的權(quán)限管理。如何創(chuàng)建自定義策略，請(qǐng)參見云原生數(shù)據(jù)倉庫 AnalyticDB PostgreSQL版自定義權(quán)限策略參考。

為RAM主體綁定權(quán)限策略

權(quán)限策略創(chuàng)建后，RAM用戶、用戶組或RAM角色需綁定權(quán)限策略，才能獲得權(quán)限策略中指定的訪問權(quán)限。

• 支持為RAM用戶、用戶組或RAM角色綁定一個(gè)或多個(gè)權(quán)限策略。

• 綁定的權(quán)限策略可以是系統(tǒng)策略也可以是自定義策略。

• 如果綁定的權(quán)限策略被更新，更新后的權(quán)限策略自動(dòng)生效，無需重新綁定權(quán)限策略。