權(quán)限控制概述
表格存儲(chǔ)支持通過RAM Policy、Control Policy、Network ACL和Instance Policy實(shí)現(xiàn)對(duì)表格存儲(chǔ)資源的權(quán)限控制。
權(quán)限控制方式
表格存儲(chǔ)支持使用的權(quán)限控制方式包括RAM權(quán)限策略RAM Policy、管控策略Control Policy、Network ACL和實(shí)例策略Instance Policy。多種權(quán)限控制方式支持組合使用,請(qǐng)根據(jù)實(shí)際配置。
訪問控制RAM中的權(quán)限策略(RAM Policy)是一種基于用戶的授權(quán)策略,可以集中管理您的用戶(例如員工、系統(tǒng)或應(yīng)用程序)以及控制用戶訪問資源的權(quán)限。
資源管理Resource Management中的資源目錄的管控策略(Control Policy)是一種基于資源結(jié)構(gòu)(資源夾或成員)的訪問控制策略,可以統(tǒng)一管理資源目錄各層級(jí)內(nèi)資源訪問的權(quán)限邊界。
表格存儲(chǔ)中的NetWork ACL是基于資源的網(wǎng)絡(luò)訪問控制功能,可以為單個(gè)實(shí)例配置網(wǎng)絡(luò)訪問方式。
表格存儲(chǔ)中的Instance Policy是基于資源的授權(quán)策略,可以為單個(gè)實(shí)例配置訪問權(quán)限。
授權(quán)說明
不同權(quán)限控制方式的適用對(duì)應(yīng)以及能實(shí)現(xiàn)的授權(quán)場(chǎng)景說明請(qǐng)參見下表。
權(quán)限控制方式 | 適用場(chǎng)景 | 歸屬服務(wù) | 適用對(duì)象 | 授權(quán)說明 |
單一阿里云賬號(hào)下多個(gè)RAM用戶、STS訪問的權(quán)限管理。 | 訪問控制 | 首次使用表格存儲(chǔ)時(shí),通過RAM Policy為RAM用戶授權(quán)或者使用臨時(shí)訪問憑證訪問表格存儲(chǔ)。具體操作,請(qǐng)參見通過RAM Policy為RAM用戶授權(quán)。 |
| |
企業(yè)級(jí)組織架構(gòu)下,各個(gè)部門的不同阿里云賬號(hào)的統(tǒng)一安全策略控制。只能拒絕訪問,不能授權(quán)。 | 資源管理 | 使用企業(yè)賬號(hào)時(shí),通過資源目錄的Control Policy統(tǒng)一管理企業(yè)人員的權(quán)限。具體操作,請(qǐng)參見通過Control Policy授權(quán)。 |
| |
單一阿里云賬號(hào)下Tablestore服務(wù)內(nèi)單個(gè)實(shí)例上的統(tǒng)一網(wǎng)絡(luò)訪問控制。 | 表格存儲(chǔ) | 使用表格存儲(chǔ)資源時(shí),通過Network ACL控制實(shí)例的網(wǎng)絡(luò)訪問類型或訪問來源。具體操作,請(qǐng)參見為實(shí)例配置NetWork ACL。 |
| |
單一阿里云賬號(hào)下Tablestore服務(wù)內(nèi)單個(gè)實(shí)例上的細(xì)粒度API權(quán)限管理。 | 表格存儲(chǔ) | 使用表格存儲(chǔ)資源時(shí),通過Instance Policy控制實(shí)例的訪問來源。具體操作,請(qǐng)參見為實(shí)例配置Instance Policy。 | 限制訪問表格存儲(chǔ)實(shí)例的客戶端IP地址、客戶端所屬VPC、客戶端使用的TLS版本等。 |
權(quán)限生效說明
當(dāng)為RAM用戶同時(shí)配置了RAM Policy、Control Policy、Network ACL和Instance Policy時(shí),請(qǐng)根據(jù)如下條件判斷用戶是否具有某個(gè)操作權(quán)限。
Control Policy中不能是拒絕相應(yīng)操作權(quán)限的條件。
在Instance Policy和RAM Policy中至少有一個(gè)條件對(duì)操作進(jìn)行了授權(quán)。
如果Instance Policy或者RAM Policy對(duì)同一個(gè)操作即進(jìn)行授權(quán)又進(jìn)行拒絕,則理解為拒絕,即用戶無相應(yīng)操作權(quán)限。