访问控制RAM允许在一个主账户下创建并管理多个RAM用户,并允许给RAM用户分配不同的授权策略,从而实现不同RAM用户拥有不同的云资源访问权限。使用RAM还可以避免与其他用户共享云账号密钥(AccessKey),按需为用户分配最小权限,从而降低您的企业信息安全风险。

前提条件

已创建RAM用户或用户组,详情请参见创建RAM用户创建用户组

背景信息

权限策略分为系统策略自定义策略
  • 系统策略:阿里云提供多种具有不同管理目的的默认权限策略。文件存储NAS经常使用的系统策略或者RAM角色包含的默认策略有以下两种,您可以根据需求为RAM用户授权。
    • AliyunNASFullAccess:管理文件存储服务(NAS)的权限
    • AliyunNASReadOnlyAccess:查看文件存储服务(NAS)的权限
  • 自定义策略:自定义权限策略可以更大程度的满足您的细粒度的要求,从而实现更灵活的权限管理。创建自定义权限策略请参见创建自定义权限策略

为RAM用户授权自定义权限策略

新建的RAM用户或用户组默认没有操作权限,只有在被授予权策略之后,才能通过控制台和API操作资源。

  1. 根据下述各场景示例创建相应的自定义策略。关于如何创建自定义策略请参见创建自定义策略
  2. 在左侧导航栏,单击人员管理 > 用户
  3. 用户登录名称/显示名称列表下,找到目标RAM用户,并在操作列,单击添加权限
  4. 添加权限面板,被授权主体会自动填入。
  5. 在左侧权限策略名称列表下,单击需要授予RAM用户的权限策略。
    说明 在右侧区域框,选择某条策略并单击×,可撤销该策略。
  6. 单击确认
  7. 单击完成
说明 更多为RAM用户或用户组授权的方式,请参见为RAM用户授权为用户组授权

示例一:授权RAM用户对文件系统的权限

  • 以下示例为授权RAM用户修改指定文件系统的属性的权限:
    {
        "Statement": [{
            "Effect": "Allow",
            "Action": [
                "nas:DescribeFileSystems",
                "nas:ModifyFileSystem"
            ],
            "Resource": "acs:nas:*:*:filesystem/07d0b4****"
        }],
        "Version": "1"
    }
  • 以下示例为授权RAM用户对所有文件系统拥有查看的权限:
    {
        "Statement": [{
            "Effect": "Allow",
            "Action": "nas:DescribeFileSystems",
            "Resource": "*"
        }],
        "Version": "1"
    }
  • 以下示例为授权RAM用户对单个文件系统拥有完全控制权限:
    {
        "Statement": [{
                "Effect": "Allow",
                "Action": [
                    "nas:*"
                ],
                "Resource": [
                    "acs:nas:*:*:filesystem/07d0b4****"
                ]
            },
            {
                "Effect": "Allow",
                "Action": "nas:CreateMountTarget",
                "Resource": [
                    "acs:vpc:*:*:vswitch/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": "cms:Describe*",
                "Resource": "*"
            }
        ],
        "Version": "1"
    }

示例二:授权RAM用户对文件系统挂载点的权限

以下示例为授权RAM用户对指定文件系统挂载点拥有完全控制的权限:
{
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "nas:CreateMountTarget",
            "nas:DescribeMountTargets",
            "nas:ModifyMountTarget",
            "nas:DeleteMountTarget"
        ],
        "Resource": [
            "acs:nas:*:*:filesystem/07d0b4****",
            "acs:vpc:*:*:vswitch/*"
        ]
    }],
    "Version": "1"
}

示例三:授权RAM用户对文件系统权限组的权限

以下示例为授权RAM用户对所有文件系统权限组拥有完全控制的权限:
{
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "nas:CreateAccessGroup",
            "nas:DescribeAccessGroups",
            "nas:ModifyAccessGroup",
            "nas:DeleteAccessGroup",
            "nas:CreateAccessRule",
            "nas:DescribeAccessRules",
            "nas:ModifyAccessRule",
            "nas:DeleteAccessRule"
        ],
        "Resource": "acs:nas:*:*:accessgroup/*"
    }],
    "Version": "1"
}

示例四:授权RAM用户查看文件系统性能监控的权限

以下示例为授权RAM用户通过控制台查看任一文件系统性能监控的权限:
{
    "Statement": [{
        "Effect": "Allow",
        "Action": "cms:Describe*",
        "Resource": "*"
    }],
    "Version": "1"
}

自定义权限策略鉴权列表

您可以通过RAM控制台或者调用RAM API CreatePolicy创建一个自定义策略,在脚本配置方式的自定义策略中,您需要根据JSON模板文件填写策略内容。其中的Action和Resource参数取值取自下文鉴权列表中的ARN值。更多详情请参见权限策略基本元素
API Action Resource 说明
文件系统 CreateFileSystem nas:CreateFileSystem acs:nas:<region>:<account-id>:filesystem/* 创建文件系统。
DeleteFileSystem nas:DeleteFileSystem acs:nas:<region>:<account-id>:filesystem/<filesystemid> 删除文件系统。
ModifyFileSystem nas:ModifyFileSystem acs:nas:<region>:<account-id>:filesystem/<filesystemid> 修改文件系统配置。
DescribeFileSystems nas:DescribeFileSystems acs:nas:<region>:<account-id>:filesystem/<filesystemid> 列出文件系统实例。
挂载点 CreateMountTarget nas:CreateMountTarget
  • acs:nas:<region>:<account-id>:filesystem/<filesystemid>
  • acs:vpc:*:*:vswitch/*
创建挂载点。
DeleteMountTarget nas:DeleteMountTarget acs:nas:<region>:<account-id>:filesystem/<filesystemid> 删除挂载点。
ModifyMountTarget nas:ModifyMountTarget acs:nas:<region>:<account-id>:filesystem/<filesystemid> 修改挂载点配置。
DescribeMountTargets nas:DescribeMountTargets acs:nas:<region>:<account-id>:filesystem/<filesystemid> 列出文件系统挂载点。
权限组 CreateAccessGroup nas:CreateAccessGroup acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 创建权限组。
DeleteAccessGroup nas:DeleteAccessGroup acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 删除权限组。
ModifyAccessGroup nas:ModifyAccessGroup acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 修改权限组。
DescribeAccessGroups nas:DescribeAccessGroups acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 列出权限组。
CreateAccessRule nas:CreateAccessRule acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 添加权限组规则。
DeleteAccessRule nas:DeleteAccessRule acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 删除权限组规则。
ModifyAccessRule nas:ModifyAccessRule acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 修改权限组规则。
DescribeAccessRule nas:DescribeAccessRule acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 列出权限组规则。
极速型NAS快照 ApplyAutoSnapshotPolicy nas:ApplyAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 为一个或者多个文件系统应用自动快照策略。
CancelAutoSnapshotPolicy nas:CancelAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 取消一个或者多个文件系统的自动快照策略。
CreateAutoSnapshotPolicy nas:CreateAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 创建一条自动快照策略。
DeleteAutoSnapshotPolicy nas:DeleteAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 删除一条自动快照策略。
ModifyAutoSnapshotPolicy nas:ModifyAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 修改一条自动快照策略。
DescribeAutoSnapshotPolicies nas:DescribeAutoSnapshotPolicies acs:nas:<region>:<account-id>:snapshot/<snapshotid> 查询已创建的自动快照策略。
CreateSnapshot nas:CreateSnapshot acs:nas:<region>:<account-id>:snapshot/* 创建快照。
DeleteSnapshot nas:DeleteSnapshot acs:nas:<region>:<account-id>:snapshot/<snapshotid> 删除指定的快照。
DescribeAutoSnapshotTasks nas:DescribeAutoSnapshotTasks acs:nas:<region>:<account-id>:snapshot/<snapshotid> 查询自动快照的任务。
DescribeSnapshots nas:DescribeSnapshots acs:nas:<region>:<account-id>:snapshot/<snapshotid> 查询一个文件系统所有的快照列表。
ResetFileSystem nas:ResetFileSystem acs:nas:<region>:<account-id>:snapshot/<snapshotid> 使用文件系统的历史快照回滚至某一阶段的文件系统状态。
生命周期管理 CreateLifecyclePolicy nas:CreateLifecyclePolicy acs:nas:<region>:<account-id>:lifecyclepolicy/<lifecyclerulename> 创建生命周期管理策略。
ModifyLifecyclePolicy nas:ModifyLifecyclePolicy acs:nas:<region>:<account-id>:lifecyclepolicy/<lifecyclerulename> 修改生命周期管理策略。
DeleteLifecyclePolicy nas:DeleteLifecyclePolicy acs:nas:<region>:<account-id>:lifecyclepolicy/<lifecyclerulename> 删除生命周期管理策略。
DescribeLifecyclePolicies nas:DescribeLifecyclePolicies acs:nas:<region>:<account-id>:lifecyclepolicy/* 查询生命周期管理策略列表。