刚创建的子账号无法使用主账号的资源,您需要通过RAM授权的方式,赋予子账号操作主账号资源的权限。
默认情况下,您对自己创建的资源拥有完整的操作权限,可以使用本文档中列举的OpenAPI对资源进行操作。
说明 如果您不需要跨账户授权和访问实例资源,您可以跳过该章节。
授权策略(Policy)
授权策略(Policy)描述授权的具体内容。授权内容主要包含效果(Effect)、资源(Resource)、对资源所授予的操作权限(Action)以及限制条件(Condition)这几个基本元素。以下内容以OpenAPI网关为例,为您介绍授权策略(Policy)。
- 系统授权策略
OpenAPI网关已经预置了AliyunApiGatewayFullAccess和AliyunApiGatewayReadOnlyAccess两个系统权限,您可以在RAM控制台, 页面查看。
- AliyunApiGatewayFullAccess:管理员权限,拥有主账号下OpenAPI分组、OpenAPI、流控策略、应用等所有资源的管理权限。
- AliyunApiGatewayReadOnlyAccess:可以查看主账号下OpenAPI分组、OpenAPI、流控策略、应用等所有资源,但不可以操作。
- 自定义策略
您可以在RAM控制台上权限策略管理页面,自定义策略查看已经定义好的自定义授权。
您也可以根据需要自定义管理权限,支持更为精细化的授权。可以为某个操作或者某个资源授权。例如,GetUsers的编辑权限。自定义策略的查看、创建、修改和删除方法请参见授权策略管理。授权策略内容填写方法请参见权限策略基本元素、权限策略语法和结构。
- 示例
允许所有的查看操作。
{ "Version": "1", "Statement": [ { "Action": "apigateway:Describe*", "Resource": "*", "Effect": "Allow" } ] }
- Action(操作名称列表)格式
"Action":"<service-name>:<action-name>"
- service-name:阿里云产品名称,请填写
apigateway
。 - action-name:OpenAPI接口名称,支持通配符
*
。"Action": "apigateway:Describe*" --表示所有的查询操作。 "Action": "apigateway:*" --表示API网关所有操作。
- service-name:阿里云产品名称,请填写
- Resource(操作对象列表)
- Resource通常指操作对象
OpenAPI网关中的OpenAPI分组、流控策略、应用都被称为Resource,语法格式:acs:<service-name>:<region>:<account-id>:<relative-id>。其中:
- acs:Alibaba Cloud Service的首字母缩写,表示阿里云的公共云平台。
- service-name:阿里云产品名称,请填写
apigateway
。 - region:地区信息,可以使用通配符号
*
来表示所有区域。 - account-id:账号ID,例如,
1234567890123456
,也可以使用*
代替。 - relative-id:与服务相关的资源描述部分,其语义由具体服务指定,该部分的格式支持树状结构(类似文件路径)。以OSS为例,表示一个OSS对象的格式为:
relative-id = “mybucket/dir1/object1.jpg”
。
- Resource语法
acs:apigateway:$regionid:$accountid:apigroup/$groupId
- Resource示例
acs:apigateway:cn-hangzhou:195000****654:apigroup/i-xxxx
- Resource通常指操作对象
- Action(操作名称列表)格式
鉴权规则
以OpenAPI网关为例。
action-name | 资源(Resource) |
---|---|
AbolishApi | acs:apigateway:$regionid:$accountid:apigroup/$groupId |