访问控制RAM允许在一个主账户下创建并管理多个RAM用户,并允许给RAM用户分配不同的授权策略,从而实现不同RAM用户拥有不同的云资源访问权限。使用RAM还可以避免与其他用户共享云账号密钥(AccessKey),按需为用户分配最小权限,从而降低您的企业信息安全风险。
背景信息
- 系统策略:阿里云提供多种具有不同管理目的的默认权限策略。文件存储NAS经常使用的系统策略或者RAM角色包含的默认策略有以下两种,您可以根据需求为RAM用户授权。
- AliyunNASFullAccess:管理文件存储服务(NAS)的权限
- AliyunNASReadOnlyAccess:查看文件存储服务(NAS)的权限
- 自定义策略:自定义权限策略可以更大程度的满足您的细粒度的要求,从而实现更灵活的权限管理。创建自定义权限策略请参见创建自定义权限策略。
为RAM用户授权自定义权限策略
新建的RAM用户或用户组默认没有操作权限,只有在被授予权策略之后,才能通过控制台和API操作资源。
示例一:授权RAM用户对文件系统的权限
- 以下示例为授权RAM用户修改指定文件系统的属性的权限:
{ "Statement": [{ "Effect": "Allow", "Action": [ "nas:DescribeFileSystems", "nas:ModifyFileSystem" ], "Resource": "acs:nas:*:*:filesystem/07d0b4****" }], "Version": "1" }
- 以下示例为授权RAM用户对所有文件系统拥有查看的权限:
{ "Statement": [{ "Effect": "Allow", "Action": "nas:DescribeFileSystems", "Resource": "*" }], "Version": "1" }
- 以下示例为授权RAM用户对单个文件系统拥有完全控制权限:
{ "Statement": [{ "Effect": "Allow", "Action": [ "nas:*" ], "Resource": [ "acs:nas:*:*:filesystem/07d0b4****" ] }, { "Effect": "Allow", "Action": "nas:CreateMountTarget", "Resource": [ "acs:vpc:*:*:vswitch/*" ] }, { "Effect": "Allow", "Action": "cms:Describe*", "Resource": "*" } ], "Version": "1" }
示例二:授权RAM用户对文件系统挂载点的权限
以下示例为授权RAM用户对指定文件系统挂载点拥有完全控制的权限:
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateMountTarget",
"nas:DescribeMountTargets",
"nas:ModifyMountTarget",
"nas:DeleteMountTarget"
],
"Resource": [
"acs:nas:*:*:filesystem/07d0b4****",
"acs:vpc:*:*:vswitch/*"
]
}],
"Version": "1"
}
示例三:授权RAM用户对文件系统权限组的权限
以下示例为授权RAM用户对所有文件系统权限组拥有完全控制的权限:
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateAccessGroup",
"nas:DescribeAccessGroups",
"nas:ModifyAccessGroup",
"nas:DeleteAccessGroup",
"nas:CreateAccessRule",
"nas:DescribeAccessRules",
"nas:ModifyAccessRule",
"nas:DeleteAccessRule"
],
"Resource": "acs:nas:*:*:accessgroup/*"
}],
"Version": "1"
}
示例四:授权RAM用户查看文件系统性能监控的权限
以下示例为授权RAM用户通过控制台查看任一文件系统性能监控的权限:
{
"Statement": [{
"Effect": "Allow",
"Action": "cms:Describe*",
"Resource": "*"
}],
"Version": "1"
}
自定义权限策略鉴权列表
您可以通过RAM控制台或者调用RAM API CreatePolicy创建一个自定义策略,在脚本配置方式的自定义策略中,您需要根据JSON模板文件填写策略内容。其中的Action和Resource参数取值取自下文鉴权列表中的ARN值。更多详情请参见权限策略基本元素。
API | Action | Resource | 说明 | |
---|---|---|---|---|
文件系统 | CreateFileSystem | nas:CreateFileSystem | acs:nas:<region>:<account-id>:filesystem/* | 创建文件系统。 |
DeleteFileSystem | nas:DeleteFileSystem | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 删除文件系统。 | |
ModifyFileSystem | nas:ModifyFileSystem | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 修改文件系统配置。 | |
DescribeFileSystems | nas:DescribeFileSystems | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 列出文件系统实例。 | |
挂载点 | CreateMountTarget | nas:CreateMountTarget |
|
创建挂载点。 |
DeleteMountTarget | nas:DeleteMountTarget | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 删除挂载点。 | |
ModifyMountTarget | nas:ModifyMountTarget | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 修改挂载点配置。 | |
DescribeMountTargets | nas:DescribeMountTargets | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 列出文件系统挂载点。 | |
权限组 | CreateAccessGroup | nas:CreateAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 创建权限组。 |
DeleteAccessGroup | nas:DeleteAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 删除权限组。 | |
ModifyAccessGroup | nas:ModifyAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 修改权限组。 | |
DescribeAccessGroups | nas:DescribeAccessGroups | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 列出权限组。 | |
CreateAccessRule | nas:CreateAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 添加权限组规则。 | |
DeleteAccessRule | nas:DeleteAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 删除权限组规则。 | |
ModifyAccessRule | nas:ModifyAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 修改权限组规则。 | |
DescribeAccessRule | nas:DescribeAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 列出权限组规则。 | |
极速型NAS快照 | ApplyAutoSnapshotPolicy | nas:ApplyAutoSnapshotPolicy | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 为一个或者多个文件系统应用自动快照策略。 |
CancelAutoSnapshotPolicy | nas:CancelAutoSnapshotPolicy | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 取消一个或者多个文件系统的自动快照策略。 | |
CreateAutoSnapshotPolicy | nas:CreateAutoSnapshotPolicy | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 创建一条自动快照策略。 | |
DeleteAutoSnapshotPolicy | nas:DeleteAutoSnapshotPolicy | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 删除一条自动快照策略。 | |
ModifyAutoSnapshotPolicy | nas:ModifyAutoSnapshotPolicy | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 修改一条自动快照策略。 | |
DescribeAutoSnapshotPolicies | nas:DescribeAutoSnapshotPolicies | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 查询已创建的自动快照策略。 | |
CreateSnapshot | nas:CreateSnapshot | acs:nas:<region>:<account-id>:snapshot/* | 创建快照。 | |
DeleteSnapshot | nas:DeleteSnapshot | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 删除指定的快照。 | |
DescribeAutoSnapshotTasks | nas:DescribeAutoSnapshotTasks | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 查询自动快照的任务。 | |
DescribeSnapshots | nas:DescribeSnapshots | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 查询一个文件系统所有的快照列表。 | |
ResetFileSystem | nas:ResetFileSystem | acs:nas:<region>:<account-id>:snapshot/<snapshotid> | 使用文件系统的历史快照回滚至某一阶段的文件系统状态。 | |
生命周期管理 | CreateLifecyclePolicy | nas:CreateLifecyclePolicy | acs:nas:<region>:<account-id>:lifecyclepolicy/<lifecyclerulename> | 创建生命周期管理策略。 |
ModifyLifecyclePolicy | nas:ModifyLifecyclePolicy | acs:nas:<region>:<account-id>:lifecyclepolicy/<lifecyclerulename> | 修改生命周期管理策略。 | |
DeleteLifecyclePolicy | nas:DeleteLifecyclePolicy | acs:nas:<region>:<account-id>:lifecyclepolicy/<lifecyclerulename> | 删除生命周期管理策略。 | |
DescribeLifecyclePolicies | nas:DescribeLifecyclePolicies | acs:nas:<region>:<account-id>:lifecyclepolicy/* | 查询生命周期管理策略列表。 |
在文档使用中是否遇到以下问题
更多建议
匿名提交