訪問控制(RAM)是阿里云提供的管理用戶身份與資源訪問權限的服務。使用RAM可以讓您避免與其他用戶共享阿里云賬號密鑰,并可按需為用戶授予最小權限。RAM中使用權限策略描述授權的具體內容。
本文為您介紹加密服務(DataEncryptionService)為RAM權限策略定義的操作(Action)、資源(Resource)和條件(Condition)。加密服務(DataEncryptionService)的RAM代碼(RamCode)為yundun-hsm,支持的授權粒度為SERVICE。
權限策略通用結構
權限策略支持JSON格式,其通用結構如下:
{
"Version": "1",
"Statement": [
{
"Effect": "<Effect>",
"Action": "<Action>",
"Resource": "<Resource>",
"Condition": {
"<Condition_operator>": {
"<Condition_key>": [
"<Condition_value>"
]
}
}
}
]
}- Effect:權限策略效果。取值:Allow(允許)、Deny(拒絕)。
- Action:授予允許或拒絕權限的具體操作。具體信息,請參見操作(Action)。
- Resource:受操作影響的具體對象,您可以使用資源ARN來描述指定資源。具體信息,請參見資源(Resource)。
- Condition:指授權生效的條件。可選字段。具體信息,請參見條件(Condition)。
- Condition_operator:條件運算符,不同類型的條件對應不同的條件運算符。具體信息,請參見權限策略基本元素。
- Condition_key:條件關鍵字。
- Condition_value:條件關鍵字對應的值。
操作(Action)
下表是加密服務(DataEncryptionService)定義的操作,這些操作可以在RAM權限策略語句的Action元素中使用,用來授予執行該操作的權限。加密服務(DataEncryptionService)不支持對每個API進行單獨授權,只提供服務級別的通用操作。下面對表中的具體項提供說明:- 操作:是指具體的權限點。
- 訪問級別:是指每個操作的訪問級別,取值為寫入(Write)、讀取(Read)或列出(List)。
- 資源類型:是指操作中支持授權的資源類型。此產品不支持對具體資源授權,需授予全部資源權限。
- 條件關鍵字:是指云產品自身定義的條件關鍵字。該列不體現適用于任何操作的通用條件關鍵字。
- 關聯操作:是指成功執行操作所需要的其他權限。操作者必須同時具備關聯操作的權限,操作才能成功。
| 操作 | 訪問級別 | 資源類型 | 條件關鍵字 | 關聯操作 |
|---|---|---|---|---|
| yundun-hsm:ListInstances | get | 全部資源 | 無 | 無 |
| yundun-hsm:JoinCluster | update | 全部資源 | 無 | 無 |
| yundun-hsm:DeleteCluster | delete | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigClusterCertificate | update | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigClusterSubnet | update | 全部資源 | 無 | 無 |
| yundun-hsm:LeaveCluster | update | 全部資源 | 無 | 無 |
| yundun-hsm:ResumeInstance | update | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigAuditLog | Write | 全部資源 | 無 | 無 |
| yundun-hsm:QuickInitInstance | update | 全部資源 | 無 | 無 |
| yundun-hsm:PauseInstance | update | 全部資源 | 無 | 無 |
| yundun-hsm:ResetBackup | update | 全部資源 | 無 | 無 |
| yundun-hsm:EnableBackup | update | 全部資源 | 無 | 無 |
| yundun-hsm:InitializeCluster | update | 全部資源 | 無 | 無 |
| yundun-hsm:DescribeRegions | list | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigClusterWhitelist | update | 全部資源 | 無 | 無 |
| yundun-hsm:ResetInstance | update | 全部資源 | 無 | 無 |
| yundun-hsm:GetInstance | get | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigInstanceIpAddress | update | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigImageRemark | 全部資源 | 無 | 無 | |
| yundun-hsm:MoveResourceGroup | update | 全部資源 | 無 | 無 |
| yundun-hsm:SwitchClusterMaster | update | 全部資源 | 無 | 無 |
| yundun-hsm:RestoreInstance | update | 全部資源 | 無 | 無 |
| yundun-hsm:GetBackup | get | 全部資源 | 無 | 無 |
| yundun-hsm:ListClusters | get | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigBackupRemark | update | 全部資源 | 無 | 無 |
| yundun-hsm:GetAuditLogStatus | get | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigInstanceWhitelist | update | 全部資源 | 無 | 無 |
| yundun-hsm:ExportImage | none | 全部資源 | 無 | 無 |
| yundun-hsm:SyncCluster | update | 全部資源 | 無 | 無 |
| yundun-hsm:GetJob | get | 全部資源 | 無 | 無 |
| yundun-hsm:InitializeAuditLog | update | 全部資源 | 無 | 無 |
| yundun-hsm:GetImage | get | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigInstanceRemark | update | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigClusterName | update | 全部資源 | 無 | 無 |
| yundun-hsm:CreateCluster | create | 全部資源 | 無 | 無 |
| yundun-hsm:GetCluster | get | 全部資源 | 無 | 無 |
| yundun-hsm:ConfigBackupTask | update | 全部資源 | 無 | 無 |
| yundun-hsm:ListBackups | list | 全部資源 | 無 | 無 |
| yundun-hsm:ListImages | list | 全部資源 | 無 | 無 |
| yundun-hsm:CopyImage | update | 全部資源 | 無 | 無 |
資源(Resource)
加密服務(DataEncryptionService)不支持在RAM權限策略語句的
Resource中指定資源ARN。如果要允許對加密服務(DataEncryptionService)的訪問權限,請在策略語句中指定"Resource": "*"。條件(Condition)
加密服務(DataEncryptionService)未定義產品級別的條件關鍵字。如需查看適用于所有云產品的通用條件關鍵字,請參見通用條件關鍵字。