概述

訪問控制RAM使用權限來描述用戶、用戶組、角色對具體資源的訪問能力，權限策略是一組訪問權限的集合。RAM用戶、用戶組或RAM角色通過綁定權限策略，可以獲得權限策略中指定的訪問權限。

權限

云賬號、RAM用戶、資源創建者所擁有的權限說明如下：

• 云賬號（資源屬主）控制所有權限。
  • 每個資源有且僅有一個資源屬主，該資源屬主必須是云賬號，對資源擁有完全控制權限。
  • 資源屬主不一定是資源創建者。例如：一個RAM用戶被授予創建資源的權限，該用戶創建的資源歸屬于云賬號，該用戶是資源創建者但不是資源屬主。
• RAM用戶（操作員）默認無任何權限。
  • RAM用戶代表的是操作員，其所有操作都需被云賬號顯式授權。
  • 新建的RAM用戶默認沒有任何操作權限，只有在被授權之后，才能通過控制臺和RAM操作資源。
• 資源創建者（RAM用戶）默認對所創建資源沒有任何權限。
  • RAM用戶被授予創建資源的權限，用戶將可以創建資源。
  • RAM用戶默認對所創建資源沒有任何權限，除非資源屬主對RAM用戶有顯式的授權。

權限策略

權限策略是用語法結構描述的一組權限的集合，可以精確地描述被授權的資源集、操作集以及授權條件。

RAM支持以下兩種權限策略：

• 系統策略：統一由阿里云創建，您只能使用不能修改，策略的版本更新由阿里云維護。VPN網關的系統策略，請參見VPN網關系統權限策略參考。

• 自定義策略：如果系統策略不能滿足您的要求，您可以創建自定義策略實現精細化的權限管理。如何創建自定義策略，請參見VPN網關自定義權限策略參考。

為RAM主體綁定權限策略

權限策略創建后，RAM用戶、用戶組或RAM角色需綁定權限策略，才能獲得權限策略中指定的訪問權限。

• 支持為RAM用戶、用戶組或RAM角色綁定一個或多個權限策略。

• 綁定的權限策略可以是系統策略也可以是自定義策略。

• 如果綁定的權限策略被更新，更新后的權限策略自動生效，無需重新綁定權限策略。

普通服務角色

VPN網關支持普通服務角色。

普通服務角色（Service Role）是一種可信實體為阿里云服務的RAM角色，旨在解決跨云服務的授權訪問問題。使用VPN網關的特定功能時，會觸發用戶授權自動創建普通服務角色并為角色授予對應的資源訪問權限。創建完成后，VPN網關即可扮演此服務角色，代表您訪問其他云服務。

您也可以在RAM中手動創建、修改和刪除普通服務角色，并修改普通服務角色的權限。修改角色或角色權限會對VPN網關提供的功能造成影響，請謹慎操作。VPN網關支持的普通服務角色，請參見下表：

服務關聯角色

服務關聯角色是一種可信實體為阿里云服務的RAM角色，旨在解決跨云服務的授權訪問問題。服務關聯角色是與某個云服務關聯的角色。多數情況下，在您使用特定功能時，關聯的云服務會自動創建或刪除服務關聯角色，不需要您主動創建或刪除。通過服務關聯角色可以更好地配置云服務正常操作所必需的權限，避免誤操作帶來的風險。

服務關聯角色的權限策略由關聯的云服務定義和使用，您不能修改或刪除權限策略，也不能為服務關聯角色添加或移除權限。

使用VPN網關訪問其他云資源時，VPN網關會在獲得您的授權后，創建一個對應的服務關聯角色，用于允許VPN網關訪問其他云資源。VPN網關相關的服務關聯角色說明如下：