全部产品

权限策略

SOFAStack 的权限管理是通过阿里云的访问控制 RAM(Resource Access Management)产品实现的。使用 RAM 可以让您避免与其他用户共享云账号密钥,即 AccessKey(包含 AccessKeyId 和 AccessKeySecret),按需为用户分配最小权限。本文介绍 SOFAStack 在 RAM 中的权限策略。

在 RAM 中,权限策略是用权限策略语法和结构描述的一组权限的集合,可以精确地描述被授权的 Resource(资源集)、Action(操作集)以及授权条件。

说明

目前,SOFAStack 暂未细化资源粒度的权限策略,各资源维度的策略定义将在后续开放。

系统策略

SOFAStack 目前提供两种系统默认的权限策略。

说明

随着产品功能演进,系统提供的权限策略内容会不断更新,请以控制台实际页面为准。

  • AliyunSOFAFullAccess:管理员权限,等同于主账号的权限,被授予该权限的 RAM 用户具有 SOFAStack 中所有资源的操作权限。

    策略定义如下:

    {
         "Version":"1",
         "Statement":[
            {
              "Action":"sofa:*",
              "Effect":"Allow",
              "Resource":"*"
            }
        ],
    }
  • AliyunSOFAReadOnlyAccess:只读权限。被授予该权限的 RAM 用户仅有通过访问控制台或调用管控 API 读取资源信息的权限。

    策略定义如下:

    {
         "Version":"1",
         "Statement":[
                {
                    "Action":[
                            "sofa:Get*",
                            "sofa:List*",
                            "sofa:Query*",
                            "sofa:Find*",
                            "sofa:Exist*",
                            "sofa:Count*"
                    ],
                   "Resource":"*",
                   "Effect":"Allow"
                }
         ]
    }

系统角色定义

开通 SOFAStack 时默认会添加系统角色 AliyunSofaCafeCasDefaultRole,该角色默认的权限策略(AliyunSofaCafeCasRolePolicy)定义了用于 SOFAStack 产品访问阿里云基础资源的各权限,主要为 ECS、VPC、SLB、OSS、RAM 等,在开通 SOFAStack 时经用户同意取得授权。

AliyunSofaCafeCasRolePolicy 的具体定义请参见 控制台