RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问的服务。使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),以及控制RAM用户对资源的操作权限,例如限制您的RAM用户只拥有对某一个文件系统的操作权限。

警告 授予RAM用户对NAS文件系统的访问控制权限时,请遵循最小授权原则,选择合理的授权范围。授权范围过大有安全风险。

RAM用户授权的流程

  1. 创建RAM用户。具体操作,请参见创建RAM用户
  2. 选择需要授予RAM用户的权限策略。
    权限策略分为系统策略自定义策略
    • 系统策略:阿里云提供多种具有不同管理目的的默认权限策略。NAS常用的系统策略包括以下两种:
      • AliyunNASFullAccess(不推荐):为RAM用户授予NAS文件系统的完全管理权限。该权限风险很高,不推荐使用。
      • AliyunNASReadOnlyAccess:为RAM用户授予NAS文件系统的只读访问权限。
    • 自定义策略:自定义权限策略可以更大程度的满足您的细粒度的要求,从而实现更灵活的权限管理。

      您可以结合实际使用场景,并参照下文列举的常见自定义策略示例,然后通过脚本配置方式创建自定义策略。具体操作,请参见创建自定义权限策略

  3. RAM用户授权。

    RAM用户授予步骤2中选择的权限策略。具体操作,请参见RAM用户授权

示例一:授权RAM用户对文件系统的权限

授予RAM用户拥有对文件系统的完全控制权限

07d****294为文件系统实例ID,请根据实际值替换。

说明 由于RAM不支持授予RAM用户单一文件系统的查看权限,当要授予RAM用户单一文件系统完全控制权限时,请您先授予RAM用户全部文件系统的查看权限,然后再授予RAM用户单一文件系统的操作(删除、修改)权限。
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "nas:*",
            "Resource": [
                  "acs:nas:*:*:filesystem/07d****294"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "nas:CreateMountTarget",
            "Resource": "acs:vpc:*:*:vswitch/*"
        },
        {
            "Effect": "Allow",
            "Action": "cms:Query*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "nas:DescribeFileSystems",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "nas:DescribeAccessGroups",
                "nas:DescribeAccessRules"
            ],
            "Resource": "acs:nas:*:*:accessgroup/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*"
        }
    ]
}

授予RAM用户修改文件系统属性的权限

07d****294为文件系统实例ID,请根据实际值替换。

{
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "nas:DescribeFileSystems",
            "nas:ModifyFileSystem"
        ],
        "Resource": "acs:nas:*:*:filesystem/07d****294"
    }],
    "Version": "1"
}

授予RAM用户查看所有文件系统的权限

{
    "Statement": [{
        "Effect": "Allow",
        "Action": "nas:DescribeFileSystems",
        "Resource": "*"
    }],
    "Version": "1"
}

示例二:授权RAM用户对文件系统挂载点的权限

授予RAM用户对文件系统(实例ID:07d****294)的挂载点拥有完全控制权限。
{
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "nas:CreateMountTarget",
            "nas:DescribeMountTargets",
            "nas:ModifyMountTarget",
            "nas:DeleteMountTarget"
        ],
        "Resource": [
            "acs:nas:*:*:filesystem/07d****294",
            "acs:vpc:*:*:vswitch/*"
        ]
    }],
    "Version": "1"
}

示例三:授权RAM用户对文件系统权限组的权限

授予RAM用户对所有文件系统权限组拥有完全控制权限。
{
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "nas:CreateAccessGroup",
            "nas:DescribeAccessGroups",
            "nas:ModifyAccessGroup",
            "nas:DeleteAccessGroup",
            "nas:CreateAccessRule",
            "nas:DescribeAccessRules",
            "nas:ModifyAccessRule",
            "nas:DeleteAccessRule"
        ],
        "Resource": "acs:nas:*:*:accessgroup/*"
    }],
    "Version": "1"
}

示例四:授权RAM用户查看文件系统性能监控指标的权限

授予RAM用户通过控制台查看任一文件系统性能监控指标的权限。
{
    "Statement": [{
        "Effect": "Allow",
        "Action": "cms:Query*",
        "Resource": "*"
    }],
    "Version": "1"
}

示例五:授权RAM用户对文件系统回收站的管理权限

授予RAM用户拥有对文件系统回收站完全控制的权限

07d****294为文件系统实例ID,请根据实际值替换。

{
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "nas:EnableRecycleBin",
                "nas:DisableAndCleanRecycleBin ",
                "nas:UpdateRecycleBinAttribute",
                "nas:GetRecycleBinAttribute",
                "nas:CreateRecycleBinRestoreJob",
                "nas:CreateRecycleBinDeleteJob",
                "nas:CancelRecycleBinJob",
                "nas:ListRecycleBinJobs",
                "nas:ListRecycledDirectoriesAndFiles",
                "nas:ListRecentlyRecycledDirectories"
            ],
            "Resource": [
                "acs:nas:*:*:filesystem/07d****294"
            ]
        }
    ],
    "Version": "1"
}

授予RAM用户恢复文件系统回收站中暂存文件的权限

07d****294为文件系统实例ID,请根据实际值替换。

{
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "nas:GetRecycleBinAttribute",
                "nas:CreateRecycleBinRestoreJob",
                "nas:CancelRecycleBinJob",
                "nas:ListRecycleBinJobs",
                "nas:ListRecycledDirectoriesAndFiles",
                "nas:ListRecentlyRecycledDirectories"
            ],
            "Resource": [
                "acs:nas:*:*:filesystem/07d****294"
            ]
        }
    ],
    "Version": "1"
}

授予RAM用户彻底删除文件系统回收站中暂存文件的权限

07d****294为文件系统实例ID,请根据实际值替换。

{
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "nas:GetRecycleBinAttribute",
                "nas:CreateRecycleBinDeleteJob",
                "nas:CancelRecycleBinJob",
                "nas:ListRecycleBinJobs",
                "nas:ListRecycledDirectoriesAndFiles",
                "nas:ListRecentlyRecycledDirectories"
            ],
            "Resource": [
                "acs:nas:*:*:filesystem/07d****294"
            ]
        }
    ],
    "Version": "1"
}

授予RAM用户修改文件系统回收站配置的权限

07d****294为文件系统实例ID,请根据实际值替换。

{
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "nas:EnableRecycleBin",
                "nas:UpdateRecycleBinAttribute",
                "nas:DisableAndCleanRecycleBin",
                "nas:GetRecycleBinAttribute"
            ],
            "Resource": [
                "acs:nas:*:*:filesystem/07d****294"
            ]
        }
    ],
    "Version": "1"
}

附录:自定义权限策略鉴权列表

您可以通过RAM控制台创建一个自定义策略,当配置模式脚本配置时,您需要根据JSON模板文件填写策略内容。其中的Action和Resource参数取值请参见如下鉴权列表。更多信息,请参见权限策略基本元素
APIActionResource说明
文件系统CreateFileSystemnas:CreateFileSystemacs:nas:<region>:<account-id>:filesystem/*创建文件系统。
DeleteFileSystemnas:DeleteFileSystemacs:nas:<region>:<account-id>:filesystem/<filesystemid>删除文件系统。
ModifyFileSystemnas:ModifyFileSystemacs:nas:<region>:<account-id>:filesystem/<filesystemid>修改文件系统配置。
DescribeFileSystemsnas:DescribeFileSystemsacs:nas:<region>:<account-id>:filesystem/<filesystemid>列出文件系统实例。
挂载点CreateMountTargetnas:CreateMountTarget
  • acs:nas:<region>:<account-id>:filesystem/<filesystemid>
  • acs:vpc:*:*:vswitch/*
创建挂载点。
DeleteMountTargetnas:DeleteMountTargetacs:nas:<region>:<account-id>:filesystem/<filesystemid>删除挂载点。
ModifyMountTargetnas:ModifyMountTargetacs:nas:<region>:<account-id>:filesystem/<filesystemid>修改挂载点配置。
DescribeMountTargetsnas:DescribeMountTargetsacs:nas:<region>:<account-id>:filesystem/<filesystemid>列出文件系统挂载点。
权限组CreateAccessGroupnas:CreateAccessGroupacs:nas:<region>:<account-id>:accessgroup/<accessgroupname>创建权限组。
DeleteAccessGroupnas:DeleteAccessGroupacs:nas:<region>:<account-id>:accessgroup/<accessgroupname>删除权限组。
ModifyAccessGroupnas:ModifyAccessGroupacs:nas:<region>:<account-id>:accessgroup/<accessgroupname>修改权限组。
DescribeAccessGroupsnas:DescribeAccessGroupsacs:nas:<region>:<account-id>:accessgroup/<accessgroupname>列出权限组。
CreateAccessRulenas:CreateAccessRuleacs:nas:<region>:<account-id>:accessgroup/<accessgroupname>添加权限组规则。
DeleteAccessRulenas:DeleteAccessRuleacs:nas:<region>:<account-id>:accessgroup/<accessgroupname>删除权限组规则。
ModifyAccessRulenas:ModifyAccessRuleacs:nas:<region>:<account-id>:accessgroup/<accessgroupname>修改权限组规则。
DescribeAccessRulenas:DescribeAccessRuleacs:nas:<region>:<account-id>:accessgroup/<accessgroupname>列出权限组规则。

FAQ