为RAM用户授权事务分组

步骤一：新建授权策略

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，选择权限管理 > 权限策略。
3. 在权限策略页面，单击创建权限策略。
4. 在创建权限策略页面，单击可视化编辑页签。
5. 配置权限策略，然后单击继续编辑基本信息。
   1. 在效果区域，选择允许或拒绝。
   2. 在服务区域，选择云服务。
      说明 支持可视化编辑模式的云服务以控制台界面显示为准。
   3. 在操作区域，选择全部操作或指定操作。
      系统会根据您上一步选择的云服务，自动筛选出可以配置的操作。如果您选择了指定操作，您需要继续选择具体的操作。
   4. 在资源区域，选择全部资源或指定资源。
      系统会根据您上一步选择的操作，自动筛选出可以配置的资源类型。如果您选择了指定资源，您需要继续单击添加资源，配置具体的资源ARN。您可以使用匹配全部功能，快速选择对应配置项的全部资源。

      说明 为了权限策略的正常生效，对操作关联的必要资源ARN标识了必要，强烈建议您配置该资源ARN。
   5. 可选：在条件区域，单击添加条件，配置条件。
      条件包括阿里云通用条件和服务级条件，系统会根据您前面配置的云服务和操作，自动筛选出可以配置的条件列表。您只需要选择对应条件键配置具体内容。
   6. 单击添加语句，重复上述步骤，配置多条权限策略语句。
6. 输入权限策略名称和备注。
7. 检查并优化权限策略内容。
   • 基础权限策略优化

     系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务：

     • 删除不必要的条件。
     • 删除不必要的数组。
   • 可选：高级权限策略优化

     您可以将鼠标悬浮在可选：高级策略优化上，单击执行，对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务：

     • 拆分不兼容操作的资源或条件。
     • 收缩资源到更小范围。
     • 去重或合并语句。
8. 单击确定。
9. 返回权限策略页面，在权限策略列表中查看新建的策略是否已存在。

步骤二：为 RAM 用户授权

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，选择权限管理 > 授权。
3. 在授权页面，单击新增授权。
4. 在新增授权页面输入授权主体（RAM 用户），在选择权限下方选择自定义策略，在权限策略列表中选择之前新建的权限策略，单击确定。
5. 返回授权页面，查看是否已经存在给 RAM 用户（被授权主体）授权对应的权限策略的记录。
   

结果验证

完成为RAM用户授权事务分组后，使用RAM用户的账号登录 GTS 控制台，在左侧导航栏单击事务总览，在事务总览页面检查是否能查看并操作已授权的事务分组。

授权策略示例

• 示例 1：针对单个事务分组授权

  {
      "Statement": [
          {
              "Action": "*",
              "Effect": "Allow",
              "Resource": "acs:txc:*:xxxxx:vgroup/test1.xxxxx.QD"
          }
      ],
      "Version": "1"
  }            

  • Action 和 Effect 字段无需填写。只需要填写 Resource 字段内容。
  • xxxxx 为主账号 ID。
  • test1.xxxxx.QD 为事务分组的全名，可以在GTS控制台获取。

  这样一个授权策略授予某RAM用户后，该用户即可使用事务分组test1.xxxxx.QD。

• 示例 2：授权全部事务分组

  {
    "Statement": [
      {
        "Action": "*",
        "Effect": "Allow",
        "Resource": "acs:txc:*:xxxxx:vgroup/*"
      }
    ],
    "Version": "1"
  }               

  • Action 和 Effect 字段无需填写。只需要填写 Resource 字段内容。
  • xxxxx 为主账号 ID。
  • vgroup/ 后面的 * 表示所有事务分组。

  这样一个授权策略授予某RAM用户后，RAM用户即可使用主账号的全部事务分组。