STS(Security Token Service)是阿里云提供的权限管理系统。您可以通过STS指定策略对用户进行权限限制。本文主要介绍如何使用STS临时授权用户访问表格存储。

背景信息

在典型的移动开发场景中,您可以通过使用STS对不同的用户设置App的临时访问权限。临时授权可以指定过期时间,有效降低了泄露子账号信息的危害。您可以根据不同的App用户,传入不同的授权策略来限制用户的访问权限,例如限制用户访问的表路径,从而达到隔离不同App用户的存储空间的目的。

前提条件

  • 云账号登录RAM控制台
  • 您已经创建一个名为 ram_test_app 的子账号,不需要赋予任何权限,因为在扮演角色的时候会自动获得被扮演角色的所有权限。具体参见创建RAM用户

步骤一: 创建临时角色

创建两个角色:RamTestAppReadOnly 和 RamTestAppWrite。一个用于读取等操作,一个用于上传文件的操作。具体操作步骤如下:

  1. 在左侧导航栏,单击RAM角色管理
  2. 单击新建RAM角色,选择可信实体类型为阿里云账号,单击下一步
  3. 输入角色名称备注
  4. 选择云账号当前云账号其他云账号
    说明 若选择其他云账号,需要填写其他云账号的ID。
  5. 单击完成

步骤二:创建自定义策略

重复以下步骤,分别创建名称分别为ram-test-app-readonly 以及ram-test-app-write的两个策略。

  1. 在左侧导航栏的权限管理菜单下,单击权限策略管理
  2. 单击新建权限策略
  3. 填写策略名称备注
  4. 配置模式选择可视化配置脚本配置
    • 可视化配置:单击添加授权语句,根据界面提示,对权限效力、操作名称和资源等进行配置。
    • 脚本配置:请参考语法结构编辑策略内容。
  5. 单击确认
本示例中ram-test-app-readonly策略以及ram-test-app-write策略的脚本如下:
  • ram-test-app-readonly策略
    {
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "ots:BatchGet*",
            "ots:Describe*",
            "ots:Get*",
            "ots:List*"
          ],
          "Resource": [
            "acs:ots:*:*:instance/ram-test-app",
            "acs:ots:*:*:instance/ram-test-app/table/*"
          ]
        }
    ],
    "Version": "1"
    }
    						
  • ram-test-app-write策略
        {
     "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "ots:Create*",
                "ots:Insert*",
                "ots:Put*",
                "ots:Update*",
                "ots:Delete*",
                "ots:BatchWrite*"
              ],
              "Resource": [
                "acs:ots:*:*:instance/ram-test-app",
                "acs:ots:*:*:instance/ram-test-app/table/*"
              ]
            }
     ],
     "Version": "1"
        }
    						

步骤三: 为临时角色授权

重复以下步骤,分别为RamTestAppReadOnly角色赋予ram-test-app-readonly(只读访问表格存储)策略;为 RamTestAppWrite角色赋予ram-test-app-write(只写表格存储)策略。

  1. 在左侧导航栏的权限管理菜单下,单击授权
  2. 单击新增授权
  3. 被授权主体区域下,输入RAM角色名称后,单击需要授权的RAM角色。
  4. 在左侧权限策略名称列表下,单击需要授予RAM角色的权限策略。
    说明 在右侧区域框,选择某条策略并单击×,可撤销该策略。
  5. 单击确定
  6. 单击完成

后续操作

临时授权访问