本文介紹RAM策略編輯器的使用方法。
地址
使用
RAM授權策略由若干條規則組成。使用RAM策略編輯器,可以在界面上逐條添加或刪除規則,并自動生成策略的JSON文本。添加所有規則后,只需要將JSON文本拷貝并粘貼到訪問控制(RAM)控制臺的創建授權策略內容框內即可使用。具體操作,請參見創建自定義權限策略。
RAM策略編輯器中,每條規則需要設置其Effect、Actions、Resources和Conditions:
Effect
指定這條規則是允許訪問(Allow)還是禁止訪問(Deny)。
Actions
指定訪問資源的動作,可以選擇多項。一般來說用戶使用提供的通配動作就足夠了:
oss:*表示允許所有動作。oss:Get*表示允許所有的讀動作。oss:Put*表示允許所有的寫動作。
更多信息,請參見RAM Policy Editor README。
Resources
指定授權訪問的OSS的資源,可以指定多個。Resources常見場景如下:
表示某個Bucket:
my-bucket(此時對bucket下的文件沒有權限)表示某個Bucket下面所有文件:
my-bucket/*(此時對bucket本身沒有權限,例如ListObjects)表示某個Bucket下某個目錄:
my-bucket/dir(此時對dir/下面的文件沒有權限)表示某個Bucket下某個目錄下面所有文件:
my-bucket/dir/*(此時對dir沒有權限,例如ListObjects)填寫完整的資源路徑:
acs:oss:*:174649585760xxxx:my-bucket/dir,其中174649585760xxxx為用戶的UID(可在控制臺查看)
EnablePath
當您需要對某個目錄授權時,往往還需要保證對上一層目錄也有List權限,例如對
my-bucket/users/dir/*賦予讀寫權限,為了在控制臺(或其他工具)能夠查看這個目錄,還需要以下權限:ListObjects my-bucket ListObjects my-bucket/users ListObjects my-bucket/users/dir勾選EnablePath選項時,會自動添加以上權限。
Conditions
指定授權訪問時應該滿足的條件,可以指定多個。
示例
授權對my-bucket及其文件所有權限示例如下:
