全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 阿里云办公 培训与认证 物联网
资源编排

使用RAM控制资源访问

更新时间:2017-06-19 15:45:32   分享:   

使用访问控制服务(RAM),可以控制哪些 RAM 用户可以执行哪些 ROS 操作,也可以控制哪些 RAM 用户可以对哪些资源栈(Stack)下的资源进行操作。这样,您就能够以 ROS 的资源栈(Stack)为单位对您的资源集合进行统一的权限控制和管理。

有关访问控制(RAM)的更多信息,请参阅 RAM 用户指南

ROS 操作列表

操作 描述
ros:DescribeStacks 查看资源栈列表。
ros:CreateStack 创建资源栈。
ros:DeleteStack 删除资源栈。
ros:UpdateStack 更新资源栈。
ros:CancelUpdateStack 取消资源栈更新。
ros:AbandonStack 丢弃资源栈。
ros:ValidateTemplate 校验模板。
ros:DescribeStackDetail 查看资源栈详情。
ros:DescribeStackResources 查看资源列表。
ros:DescribeStackResourceDetail 查看资源详情。
ros:DescribeStackEvents 查看事件列表。
ros:DescribeStackTemplate 查看模板内容。

ROS 资源描述符

RAM 的策略定义中,可以通过下面的方式描述 ROS 资源栈,其中的变量可以用*来代替所有:

  1. acs:ros:{region_id}:{owner_id}:stack/{stack_name}/{stack_id}

比如:

  1. acs:ros:cn-beijing:*:stack/myStack/94dd5431-2df6-4415-81ca-732a7082252a

例:授予查看资源栈的策略

  1. {
  2. "Statement": [
  3. {
  4. "Action": [
  5. "ros:DescribeStacks",
  6. "ros:DescribeStackDetail"
  7. ],
  8. "Effect": "Allow",
  9. "Resource": "acs:ros:cn-beijing:*:stack/*"
  10. }
  11. ],
  12. "Version": "1"
  13. }

该策略授予查看 cn-beijing 区域的资源栈列表和资源栈详情的权限。其中 Action 元素表示授权的操作,Resource 表示授权操作的资源,其中星号(*)是一个通配符,它允许对所有 cn-beijing 区域的资源栈进行操作。

例:授予创建和查看资源栈的策略

  1. {
  2. "Statement": [
  3. {
  4. "Action": [
  5. "ros:CreateStack",
  6. "ros:DescribeStacks",
  7. "ros:DescribeStackDetail"
  8. ],
  9. "Effect": "Allow",
  10. "Resource": "*"
  11. }
  12. ],
  13. "Version": "1"
  14. }

通过该策略,可以授予用户在所有区域创建和查看资源栈的权限。

例:授予指定用户更新指定资源栈的策略

  1. {
  2. "Statement": [
  3. {
  4. "Action": [
  5. "ros:UpdateStack"
  6. ],
  7. "Effect": "Allow",
  8. "Resource": "acs:ros:cn-beijing:123456789:stack/myStack/94dd5431-2df6-4415-81ca-732a7082252a"
  9. }
  10. ],
  11. "Version": "1"
  12. }

该策略授予 ID 为 123456789 的用户可以对名称为 myStack,ID 为 94dd5431-2df6-4415-81ca-732a7082252a 的资源栈进行更新操作。

使用上面表格列出的可选操作替换 ActionResource 元素的内容,可以组合出更多有用的授权策略。

本文导读目录
本文导读目录
以上内容是否对您有帮助?