权限指在某种条件下 ,允许(Allow) 或 拒绝(Deny)对某些资源执行某些操作。

权限的载体是授权策略。自定义权限,即在自定义授权策略时定义某些权限。在 RAM 控制台,策略管理页面,单击新建授权策略开始创建自定义授权策略。创建自定义授权策略时,请选择模板为空白模板。

授权策略是 JSON 格式的字符串,需包含以下参数。

参数 说明
Action 表示要授权的操作。物联网络管理平台的操作都以linkwan:开头。定义方式和示例,请参见本文档中Action和Resource的定义。
Effect 表示授权类型,取值:Allow、Deny。
Resource 表示要授权操作的资源。物联网络管理平台的资源都以acs:linkwan:*:*:开头。定义方式和示例,请参见本文档中Action和Resource的定义。
Condition 表示鉴权条件。详细信息,请参见本文档中Condition的定义

Action是API方法的名称。在创建物联网络管理平台的授权策略时,每个 Action 前缀均为linkwan:,多个 Action 以逗号分隔。并且,支持使用星号通配符。

Resource是API方法操作的资源的名称。每个 Resource 前缀均为acs:linkwan:*:*:,多个 Resource 以逗号分隔。并且,支持使用星号通配符。

物联网络管理平台API方法名称的定义、对应资源名称的定义请参见物联网络管理平台 API 授权映射表

下面介绍一些典型的策略配置示例。

  • 全部权限
    {
        "Statement": [
            {
                "Action": "linkwan:*",
                "Effect": "Allow",
                "Resource": "*"
            }
        ],
        "Version": "1"
    }
    				
  • 只读权限
    {
        "Statement": [
            {
                "Action": [
                    "linkwan:Get*",
                    "linkwan:Count*",
                    "linkwan:List*",
                    "linkwan:Describe*",
                    "linkwan:Check*"
                ],
                "Effect": "Allow",
                "Resource": [
                    "*"
                ]
            }
        ],
        "Version": "1"
    }
    				
  • 网关管理权限
    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "linkwan:CreateGateway",
                    "linkwan:DeleteGateway",
                    "linkwan:UpdateGateway",
                    "linkwan:UpdateGatewayEnablingState",
                    "linkwan:GetGateway",
                    "linkwan:ListGateways",
                    "linkwan:CountGateways",
                    "linkwan:ListGatewaysGisInfo"
                ],
                "Resource": [
                    "acs:linkwan:*:*:gateway/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "linkwan:ListGatewayTransferPackets",
                    "linkwan:GetGatewayTransferPacketsDownloadUrl",
                    "linkwan:ListGatewayTransferFlowStats",
                    "linkwan:ListGatewayOnlineRecords",
                    "linkwan:GetGatewayStatusStat",
                    "linkwan:GetGatewayPacketStat",
                    "linkwan:ListActiveGateways"
                ],
                "Resource": [
                    "acs:linkwan:*:*:gateway/*",
                    "acs:linkwan:*:*:diagram/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "linkwan:GetFreqBandPlanGroup",
                    "linkwan:ListFreqBandPlanGroups"
                ],
                "Resource": [
                    "acs:linkwan:*:*:freq-band-plan/*"
                ]
            }
        ],
        "Version": "1"
    }
    				

Condition的定义

RAM授权策略支持访问IP限制、是否通过HTTPS访问、是否通过MFA(多因素认证)访问、访问时间限制等多种鉴权条件。物联网络管理平台API支持这些条件。

下面列举一些典型的Condition策略配置。

  • 限制单个IP地址和IP网段。例如,只允许IP地址为10.101.168.111或10.101.169.111/24网段的请求访问。

    {
        "Statement": [
            {
                "Action": [
                    "linkwan:Get*",
                    "linkwan:Count*",
                    "linkwan:List*",
                    "linkwan:Describe*",
                    "linkwan:Check*"
                ],
                "Effect": "Allow",
                "Resource": [
                    "*"
                ],
                "Condition": {
                    "IpAddress": {
                        "acs:SourceIp": [
                            "10.101.168.111", 
                            "10.101.169.111/24"
                        ]
                    }
                }
            }
        ], 
        "Version": "1"
    }
    					
  • 限制多个IP地址。例如,只允许IP地址为10.101.168.111和10.101.169.111的请求访问。

    {
        "Statement": [
            {
                "Action": [
                    "linkwan:Get*",
                    "linkwan:Count*",
                    "linkwan:List*",
                    "linkwan:Describe*",
                    "linkwan:Check*"
                ],
                "Effect": "Allow",
                "Resource": [
                    "*"
                ],
                "Condition": {
                    "IpAddress": {
                        "acs:SourceIp": [
                            "10.101.168.111", 
                            "10.101.169.111"
                        ]
                    }
                }
            }
        ], 
        "Version": "1"
    }
    					
  • 限制必须通过HTTPS请求访问。

    {
        "Statement": [
            {
                "Action": [
                    "linkwan:Get*",
                    "linkwan:Count*",
                    "linkwan:List*",
                    "linkwan:Describe*",
                    "linkwan:Check*"
                ],
                "Effect": "Allow",
                "Resource": [
                    "*"
                ],
                "Condition": {
                    "Bool": {
                        "acs:SecureTransport": "true"
                    }
                }
            }
        ], 
        "Version": "1"
    }
    					
  • 限制必须通过MFA请求访问。

    {
        "Statement": [
            {
                "Action": [
                    "linkwan:Get*",
                    "linkwan:Count*",
                    "linkwan:List*",
                    "linkwan:Describe*",
                    "linkwan:Check*"
                ],
                "Effect": "Allow",
                "Resource": [
                    "*"
                ],
                "Condition": {
                    "Bool": {
                        "acs:MFAPresent ": "true"
                    }
                }
            }
        ], 
        "Version": "1"
    }
    					
  • 用户可以在北京时间2019年1月 20号凌晨之前访问,之后则不能访问。

    {
        "Statement": [
            {
                "Action": [
                    "linkwan:Get*",
                    "linkwan:Count*",
                    "linkwan:List*",
                    "linkwan:Describe*",
                    "linkwan:Check*"
                ],
                "Effect": "Allow",
                "Resource": [
                    "*"
                ],
                "Condition": {
                    "DateLessThan": {
                        "acs:CurrentTime": "2019-01-20T00:00:00+08:00"
                    }
                }
            }
        ], 
        "Version": "1"
    }
    					

典型使用场景

综上,我们可以利用Action、Resource、Condition来灵活配置授权策略,以下列举两个具体场景。

  • 场景 1

    允许用户在 2019 年 1 月 20 日之前从 10.101.169.111/24 网段通过 HTTPS 对物联网络管理平台进行只读操作。

    策略配置如下:
    ```json
    {
        "Statement": [
            {
                "Action": [
                    "linkwan:Get*",
                    "linkwan:Count*",
                    "linkwan:List*",
                    "linkwan:Describe*",
                    "linkwan:Check*"
                ],
                "Effect": "Allow",
                "Resource": [
                    "*"
                ],
                "Condition": {
                    "DateLessThan": {
                        "acs:CurrentTime": "2019-01-20T00:00:00+08:00"
                    },
                    "IpAddress": {
                        "acs:SourceIp": [
                            "10.101.169.111/24"
                        ]
                    },
                    "Bool": {
                        "acs:SecureTransport": "true"
                    }
                }
            }
        ],
        "Version": "1"
    }
    ```
    						
  • 场景 2

    禁止用户从 IP 地址 10.101.168.111 对物联网络管理平台进行读操作。

    策略配置如下:

    ```json
    {
        "Statement": [
            {
                "Action": [
                    "linkwan:Get*",
                    "linkwan:Count*",
                    "linkwan:List*",
                    "linkwan:Describe*",
                    "linkwan:Check*"
                ],
                "Effect": "Deny",
                "Resource": [
                    "*"
                ],
                "Condition": {
                    "IpAddress": {
                        "acs:SourceIp": [
                            "10.101.168.111"
                        ]
                    }
                }
            }
        ],
        "Version": "1"
    }
    ```
    					

授权策略创建成功后,在访问控制 RAM 控制台,用户管理页面,将此权限授予子账号用户。获得授权的子账号用户就可以进行权限中定义的操作。创建子账号和授权操作帮助,请参见子账号访问