RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问的服务。使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),以及控制RAM用户对资源的操作权限,例如限制您的RAM用户只拥有对某一个文件系统的操作权限。
授予RAM用户对NAS文件系统的访问控制权限时,请遵循最小授权原则,选择合理的授权范围。授权范围过大有安全风险。
为RAM用户授权的流程
-
创建RAM用户。具体操作,请参见创建RAM用户。
-
选择需要授予RAM用户的权限策略。
权限策略分为系统策略和自定义策略。
-
系统策略:阿里云提供多种具有不同管理目的的默认权限策略。NAS常用的系统策略包括以下两种:
-
AliyunNASFullAccess(不推荐):为RAM用户授予NAS文件系统的完全管理权限。该权限风险很高,不推荐使用。
-
AliyunNASReadOnlyAccess:为RAM用户授予NAS文件系统的只读访问权限。
-
-
自定义策略:自定义权限策略可以更大程度的满足您的细粒度的要求,从而实现更灵活的权限管理。
您可以结合实际使用场景,并参照下文列举的常见自定义策略示例,然后通过脚本配置方式创建自定义策略。具体操作,请参见创建自定义权限策略。
-
-
为RAM用户授权。
示例一:授权RAM用户对文件系统的权限
授予RAM用户拥有对文件系统的完全控制权限
07d****294为文件系统实例ID,请根据实际值替换。
由于RAM不支持授予RAM用户单一文件系统的查看权限,当要授予RAM用户单一文件系统完全控制权限时,请您先授予RAM用户全部文件系统的查看权限,然后再授予RAM用户单一文件系统的操作(删除、修改)权限。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "nas:*",
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
},
{
"Effect": "Allow",
"Action": "nas:CreateMountTarget",
"Resource": "acs:vpc:*:*:vswitch/*"
},
{
"Effect": "Allow",
"Action": "cms:Query*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "nas:DescribeFileSystems",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"nas:DescribeAccessGroups",
"nas:DescribeAccessRules"
],
"Resource": "acs:nas:*:*:accessgroup/*"
},
{
"Effect": "Allow",
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*"
}
]
}授予RAM用户修改文件系统属性的权限
07d****294为文件系统实例ID,请根据实际值替换。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:DescribeFileSystems",
"nas:ModifyFileSystem"
],
"Resource": "acs:nas:*:*:filesystem/07d****294"
}],
"Version": "1"
}授予RAM用户查看所有文件系统的权限
{
"Statement": [{
"Effect": "Allow",
"Action": "nas:DescribeFileSystems",
"Resource": "*"
}],
"Version": "1"
}示例二:授权RAM用户对文件系统挂载点的权限
授予RAM用户对文件系统(实例ID:07d****294)的挂载点拥有完全控制权限。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateMountTarget",
"nas:DescribeMountTargets",
"nas:ModifyMountTarget",
"nas:DeleteMountTarget"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294",
"acs:vpc:*:*:vswitch/*"
]
}],
"Version": "1"
}示例三:授权RAM用户对文件系统权限组的权限
授予RAM用户对所有文件系统权限组拥有完全控制权限。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateAccessGroup",
"nas:DescribeAccessGroups",
"nas:ModifyAccessGroup",
"nas:DeleteAccessGroup",
"nas:CreateAccessRule",
"nas:DescribeAccessRules",
"nas:ModifyAccessRule",
"nas:DeleteAccessRule"
],
"Resource": "acs:nas:*:*:accessgroup/*"
}],
"Version": "1"
}示例四:授权RAM用户查看文件系统性能监控指标的权限
授予RAM用户通过控制台查看任一文件系统性能监控指标的权限。
{
"Statement": [{
"Effect": "Allow",
"Action": "cms:Query*",
"Resource": "*"
}],
"Version": "1"
}示例五:授权RAM用户对文件系统回收站的管理权限
授予RAM用户拥有对文件系统回收站完全控制的权限
07d****294为文件系统实例ID,请根据实际值替换。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:EnableRecycleBin",
"nas:DisableAndCleanRecycleBin ",
"nas:UpdateRecycleBinAttribute",
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinRestoreJob",
"nas:CreateRecycleBinDeleteJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}授予RAM用户恢复文件系统回收站中暂存文件的权限
07d****294为文件系统实例ID,请根据实际值替换。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinRestoreJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}授予RAM用户彻底删除文件系统回收站中暂存文件的权限
07d****294为文件系统实例ID,请根据实际值替换。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinDeleteJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}授予RAM用户修改文件系统回收站配置的权限
07d****294为文件系统实例ID,请根据实际值替换。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:EnableRecycleBin",
"nas:UpdateRecycleBinAttribute",
"nas:DisableAndCleanRecycleBin",
"nas:GetRecycleBinAttribute"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}附录:自定义权限策略鉴权列表
您可以通过RAM控制台创建一个自定义策略,当配置模式为脚本配置时,您需要根据JSON模板文件填写策略内容。其中的Action和Resource参数取值请参见如下鉴权列表。更多信息,请参见权限策略基本元素。
|
API |
Action |
Resource |
说明 |
|
|
文件系统 |
CreateFileSystem |
nas:CreateFileSystem |
acs:nas:<region>:<account-id>:filesystem/* |
创建文件系统。 |
|
DeleteFileSystem |
nas:DeleteFileSystem |
acs:nas:<region>:<account-id>:filesystem/<filesystemid> |
删除文件系统。 |
|
|
ModifyFileSystem |
nas:ModifyFileSystem |
acs:nas:<region>:<account-id>:filesystem/<filesystemid> |
修改文件系统配置。 |
|
|
DescribeFileSystems |
nas:DescribeFileSystems |
acs:nas:<region>:<account-id>:filesystem/<filesystemid> |
列出文件系统实例。 |
|
|
挂载点 |
CreateMountTarget |
nas:CreateMountTarget |
|
创建挂载点。 |
|
DeleteMountTarget |
nas:DeleteMountTarget |
acs:nas:<region>:<account-id>:filesystem/<filesystemid> |
删除挂载点。 |
|
|
ModifyMountTarget |
nas:ModifyMountTarget |
acs:nas:<region>:<account-id>:filesystem/<filesystemid> |
修改挂载点配置。 |
|
|
DescribeMountTargets |
nas:DescribeMountTargets |
acs:nas:<region>:<account-id>:filesystem/<filesystemid> |
列出文件系统挂载点。 |
|
|
权限组 |
CreateAccessGroup |
nas:CreateAccessGroup |
acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> |
创建权限组。 |
|
DeleteAccessGroup |
nas:DeleteAccessGroup |
acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> |
删除权限组。 |
|
|
ModifyAccessGroup |
nas:ModifyAccessGroup |
acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> |
修改权限组。 |
|
|
DescribeAccessGroups |
nas:DescribeAccessGroups |
acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> |
列出权限组。 |
|
|
CreateAccessRule |
nas:CreateAccessRule |
acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> |
添加权限组规则。 |
|
|
DeleteAccessRule |
nas:DeleteAccessRule |
acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> |
删除权限组规则。 |
|
|
ModifyAccessRule |
nas:ModifyAccessRule |
acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> |
修改权限组规则。 |
|
|
DescribeAccessRule |
nas:DescribeAccessRule |
acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> |
列出权限组规则。 |
|