阿里云使用权限来描述内部身份(如用户、用户组、角色)对具体资源的访问能力。权限指在某种条件下允许或拒绝对某些资源执行某些操作,授权策略是一组访问权限的集合。

权限

  • 主账户(资源 Owner)控制所有权限
    • 每个资源有且仅有一个属主(资源 Owner)。该属主必须是云账户,对资源拥有完全控制权限。
    • 资源属主不一定是资源创建者。比如,一个 RAM 用户被授予创建资源的权限,该用户创建的资源归属于主账户,该用户是资源创建者但不是资源属主。
  • RAM 用户(操作员)默认无任何权限
    • RAM 用户代表的是操作员,其所有操作都需被显式授权。
    • 新建 RAM 用户默认没有任何操作权限,只有在被授权之后,才能通过控制台和 API 操作资源。
  • 资源创建者(RAM 用户)不会自动拥有对所创建资源的任何权限
    • 如果 RAM 用户被授予创建资源的权限,用户将可以创建资源。
    • 但是 RAM 用户不会自动拥有对所创建资源的任何权限,除非资源 Owner 对他有显式的授权。

授权策略

授权策略(Policy)是用 Policy语法结构 所描述的一组权限,它可以精确地描述被授权的资源集、操作集以及授权条件。当授权策略中既有 Allow 又有 Deny 的授权语句时,遵循 Deny 优先的原则。

在 RAM 中,访问策略是一种资源实体,用户可以创建、更新、删除和查看访问策略。RAM 支持以下两种授权策略:

  • 系统授权策略:系统授权策略是阿里云提供的一组通用授权针对不同产品的只读权限或所有权限。阿里云会自动升级系统授权策略,用户不能修改。
  • 自定义授权策略:由于系统授权策略的授权粒度比较粗,如果这种粗粒度授权策略不能满足您的需要,那么您可以创建自定义授权策略。比如,您想控制对某个具体的 ECS 实例的操作权限,或者您要求访问者的资源操作请求必须来自于指定的 IP 地址,您必须使用自定义授权策略才能满足这种细粒度要求。

给 RAM 用户授权

给 RAM 用户授权,指给用户、用户组或角色绑定一个或多个授权策略。

  • 绑定的授权策略可以是系统授权策略也可以是自定义授权策略。
  • 如果绑定的授权策略被更新,更新后的授权策略自动生效,无需重新绑定授权策略。