訪問控制(RAM)是阿里云提供的管理用戶身份與資源訪問權限的服務。使用RAM可以讓您避免與其他用戶共享阿里云賬號密鑰,并可按需為用戶授予最小權限。RAM中使用權限策略描述授權的具體內容。
本文為您介紹訪問控制(IMS)為RAM權限策略定義的操作(Action)、資源(Resource)和條件(Condition)。訪問控制(IMS)的RAM代碼(RamCode)為ram,ims,支持的授權粒度為RESOURCE。
權限策略通用結構
權限策略支持JSON格式,其通用結構如下:
{
"Version": "1",
"Statement": [
{
"Effect": "<Effect>",
"Action": "<Action>",
"Resource": "<Resource>",
"Condition": {
"<Condition_operator>": {
"<Condition_key>": [
"<Condition_value>"
]
}
}
}
]
}- Effect:權限策略效果。取值:Allow(允許)、Deny(拒絕)。
- Action:授予允許或拒絕權限的具體操作。具體信息,請參見操作(Action)。
- Resource:受操作影響的具體對象,您可以使用資源ARN來描述指定資源。具體信息,請參見資源(Resource)。
- Condition:指授權生效的條件。可選字段。具體信息,請參見條件(Condition)。
- Condition_operator:條件運算符,不同類型的條件對應不同的條件運算符。具體信息,請參見權限策略基本元素。
- Condition_key:條件關鍵字。
- Condition_value:條件關鍵字對應的值。
操作(Action)
下表是訪問控制(IMS)定義的操作,這些操作可以在RAM權限策略語句的Action元素中使用,用來授予執行該操作的權限。下面對表中的具體項提供說明:- 操作:是指具體的權限點。
- API:是指操作對應的API接口。
- 訪問級別:是指每個操作的訪問級別,取值為寫入(Write)、讀取(Read)或列出(List)。
- 資源類型:是指操作中支持授權的資源類型。具體說明如下:
- 對于必選的資源類型,用背景高亮的方式表示。
- 對于不支持資源級授權的操作,用
全部資源表示。
- 條件關鍵字:是指云產品自身定義的條件關鍵字。該列不體現適用于任何操作的通用條件關鍵字。
- 關聯操作:是指成功執行操作所需要的其他權限。操作者必須同時具備關聯操作的權限,操作才能成功。
| 操作 | API | 訪問級別 | 資源類型 | 條件關鍵字 | 關聯操作 |
|---|---|---|---|---|---|
| ram:CreateSAMLProvider | CreateSAMLProvider | create | 全部資源 * | 無 | 無 |
| ram:GetLoginProfile | GetLoginProfile | get | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:DeleteApplication | DeleteApplication | delete | Application acs:ram::{#accountId}:application/{#AppName} | 無 | 無 |
| ram:DeleteLoginProfile | DeleteLoginProfile | Write | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:GetUserMFAInfo | GetUserMFAInfo | get | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:DeleteUser | DeleteUser | delete | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:CreateApplication | CreateApplication | create | 全部資源 * | 無 | 無 |
| ram:ChangePassword | ChangePassword | update | 全部資源 * | 無 | 無 |
| ram:UpdateOIDCProvider | UpdateOIDCProvider | update | OIDCProvider acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName} | ram:OidcIssuerUrl | 無 |
| ram:AddClientIdToOIDCProvider | AddClientIdToOIDCProvider | create | OIDCProvider acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName} | ram:OidcIssuerUrl | 無 |
| ram:GetGroup | GetGroup | get | Group acs:ram::{#accountId}:group/{#GroupName} | 無 | 無 |
| ram:RemoveFingerprintFromOIDCProvider | RemoveFingerprintFromOIDCProvider | delete | OIDCProvider acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName} | ram:OidcIssuerUrl | 無 |
| ram:DeleteAccessKey | DeleteAccessKey | Write | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:GetSecurityPreference | GetSecurityPreference | get | 全部資源 * | 無 | 無 |
| ram:GetAccountSecurityPracticeReport | GetAccountSecurityPracticeReport | get | 全部資源 * | 無 | 無 |
| ram:UpdateApplication | UpdateApplication | update | Application acs:ram::{#accountId}:application/{#AppName} | 無 | 無 |
| ram:SetDefaultDomain | SetDefaultDomain | update | 全部資源 * | 無 | 無 |
| ram:AddUserToGroup | AddUserToGroup | create | Group acs:ram::{#accountId}:group/{#GroupName}User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:GetApplication | GetApplication | get | Application acs:ram::{#accountId}:application/{#AppName} | 無 | 無 |
| ram:UpdateSAMLProvider | UpdateSAMLProvider | update | SAMLProvider acs:ram::{#accountId}:saml-provider/{#SAMLProviderName} | 無 | 無 |
| ram:SetUserSsoSettings | SetUserSsoSettings | update | 全部資源 * | 無 | 無 |
| ram:UpdateGroup | UpdateGroup | update | Group acs:ram::{#accountId}:group/{#GroupName} | 無 | 無 |
| ram:DeleteAppSecret | DeleteAppSecret | delete | Application acs:ram::{#accountId}:application/{#AppName} | 無 | 無 |
| ram:CreateAppSecret | CreateAppSecret | create | Application acs:ram::{#accountId}:application/{#AppName} | 無 | 無 |
| ram:UpdateLoginProfile | UpdateLoginProfile | Write | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:UnbindMFADevice | UnbindMFADevice | update | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:CreateUser | CreateUser | create | User acs:ram::{#accountId}:user/* | 無 | 無 |
| ram:GetPasswordPolicy | GetPasswordPolicy | get | 全部資源 * | 無 | 無 |
| ram:DisableVirtualMFA | DisableVirtualMFA | delete | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:RemoveClientIdFromOIDCProvider | RemoveClientIdFromOIDCProvider | delete | OIDCProvider acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName} | ram:OidcIssuerUrl | 無 |
| ram:GetSAMLProvider | GetSAMLProvider | get | SAMLProvider acs:ram::{#accountId}:saml-provider/{#SAMLProviderName} | 無 | 無 |
| ram:UpdateUser | UpdateUser | update | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:ListGroupsForUser | ListGroupsForUser | get | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:GetVerificationInfo | GetVerificationInfo | 全部資源 * | 無 | 無 | |
| ram:CreateLoginProfile | CreateLoginProfile | Write | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:TagResources | TagResources | 全部資源 * | 無 | 無 | |
| ram:GetAccessKeyLastUsed | GetAccessKeyLastUsed | get | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:GetAccountSummary | GetAccountSummary | get | 全部資源 * | 無 | 無 |
| ram:DeleteSAMLProvider | DeleteSAMLProvider | delete | SAMLProvider acs:ram::{#accountId}:saml-provider/{#SAMLProviderName} | 無 | 無 |
| ram:ListGroups | ListGroups | get | Group acs:ram::{#accountId}:group/* | 無 | 無 |
| ram:SetPasswordPolicy | SetPasswordPolicy | update | 全部資源 * | 無 | 無 |
| ram:ListUsersForGroup | ListUsersForGroup | get | Group acs:ram::{#accountId}:group/{#GroupName} | 無 | 無 |
| ram:GenerateCredentialReport | GenerateCredentialReport | get | 全部資源 * | 無 | 無 |
| ram:ListTagResources | ListTagResources | 全部資源 * | 無 | 無 | |
| ram:BindMFADevice | BindMFADevice | update | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:RemoveUserFromGroup | RemoveUserFromGroup | delete | Group acs:ram::{#accountId}:group/{#GroupName}User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:GetDefaultDomain | GetDefaultDomain | get | 全部資源 * | 無 | 無 |
| ram:UntagResources | UntagResources | 全部資源 * | 無 | 無 | |
| ram:ListAccessKeys | ListAccessKeys | list | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:CreateVirtualMFADevice | CreateVirtualMFADevice | create | 全部資源 * | 無 | 無 |
| ram:AddFingerprintToOIDCProvider | AddFingerprintToOIDCProvider | create | OIDCProvider acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName} | ram:OidcIssuerUrl | 無 |
| ram:GetCredentialReport | GetCredentialReport | get | 全部資源 * | 無 | 無 |
| ram:ListApplications | ListApplications | get | 全部資源 * | 無 | 無 |
| ram:CreateAccessKey | CreateAccessKey | Write | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:ListAppSecretIds | ListAppSecretIds | get | Application acs:ram::{#accountId}:application/{#AppName} | 無 | 無 |
| ram:SetSecurityPreference | SetSecurityPreference | update | 全部資源 * | ram:MFAOperationForLogin | 無 |
| ram:ListOIDCProviders | ListOIDCProviders | get | 全部資源 * | 無 | 無 |
| ram:ListSAMLProviders | ListSAMLProviders | get | 全部資源 * | 無 | 無 |
| ram:DeleteVirtualMFADevice | DeleteVirtualMFADevice | delete | MFADevice acs:ram::{#accountId}:mfa/{#SerialNumber} | 無 | 無 |
| ram:CreateOIDCProvider | CreateOIDCProvider | create | 全部資源 * | ram:OidcIssuerUrl | 無 |
| ram:ListVirtualMFADevices | ListVirtualMFADevices | list | 全部資源 * | 無 | 無 |
| ram:GetAppSecret | GetAppSecret | get | Application acs:ram::{#accountId}:application/{#AppName} | 無 | 無 |
| ram:CreateGroup | CreateGroup | create | Group acs:ram::{#accountId}:group/* | 無 | 無 |
| ram:UpdateAccessKey | UpdateAccessKey | Write | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:ListUsers | ListUsers | list | User acs:ram::{#accountId}:user/* | 無 | 無 |
| ram:GetUser | GetUser | get | User acs:ram::{#accountId}:user/{#UserName} | 無 | 無 |
| ram:DeleteOIDCProvider | DeleteOIDCProvider | delete | OIDCProvider acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName} | ram:OidcIssuerUrl | 無 |
| ram:GetAccountMFAInfo | GetAccountMFAInfo | get | 全部資源 * | 無 | 無 |
| ram:DeleteGroup | DeleteGroup | delete | Group acs:ram::{#accountId}:group/{#GroupName} | 無 | 無 |
| ram:GetOIDCProvider | GetOIDCProvider | get | OIDCProvider acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName} | ram:OidcIssuerUrl | 無 |
| ram:GetUserSsoSettings | GetUserSsoSettings | get | 全部資源 * | 無 | 無 |
| ram:ListUserBasicInfos | ListUserBasicInfos | list | User acs:ram::{#accountId}:user/* | 無 | 無 |
資源(Resource)
下表是訪問控制(IMS)定義的資源,這些資源可以在RAM權限策略語句的Resource元素中使用,用來授予對該資源執行具體操作的權限。 其中,資源ARN是資源在阿里云上的唯一標識。具體說明如下:{#}為變量標識,需要您替換為實際值。例如:{#ramcode}需要您替換為實際的云服務RAM代碼。-
*表示全部。例如:{#resourceType}為*時:表示全部資源。{#regionId}為*時:表示全部地域。{#accountId}為*時:表示全部阿里云賬號。
| 資源類型 | 資源ARN |
|---|---|
| SAMLProvider | acs:ram::{#accountId}:saml-provider/* |
| User | acs:ram::{#accountId}:user/{#UserName} |
| Application | acs:ram::{#accountId}:application/{#AppName} |
| User | acs:ram::{#AccountId}:user/* |
| User | acs:ram::{#AccountId}:user/{#UserName} |
| Application | acs:ram::{#accountId}:application/* |
| OIDCProvider | acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName} |
| Group | acs:ram::{#accountId}:group/{#GroupName} |
| SAMLProvider | acs:ram::{#accountId}:saml-provider/{#SAMLProviderName} |
| User | acs:ram::{#accountId}:user/* |
| Group | acs:ram::{#accountId}:group/* |
| MFADevice | acs:ram::{#accountId}:mfa/* |
| OIDCProvider | acs:ram::{#accountId}:oidc-provider/* |
| MFADevice | acs:ram::{#accountId}:mfa/{#SerialNumber} |
條件(Condition)
下表是訪問控制(IMS)定義的產品級條件關鍵字,這些條件關鍵字可以在RAM權限策略語句的
Condition元素中使用,用來描述授予權限的條件。以下僅列舉產品級的條件關鍵字,阿里云定義的通用條件關鍵字也同樣適用訪問控制(IMS)。其中,數據類型決定了您可以使用哪些條件運算符將請求中的值與權限策略語句中的值進行比較。您必須使用與數據類型匹配的條件運算符,否則無法匹配策略語句,授權行為無效。數據類型與條件運算符的對應關系,請參見條件操作類型。
| 條件關鍵字 | 描述 | 類型 |
|---|---|---|
| ram:OidcIssuerUrl | 頒發者URL,由外部IdP提供 | String |
| ram:MFAOperationForLogin | 登錄時是否必須使用MFA驗證 | String |